在本周稍早时候,WebP 编解码器中的一个安全漏洞被披露,影响了许多应用程序和操作系统,其中,网页浏览器面临的风险最大,因为 WebP 影像现在在网络上很常见,但是一些支持 WebP 的应用程序(如 LibreOffice 和 Telegram)也需要修补以避免安全问题。 Mozilla 刚刚推出了 Firefox 和 Thunderbird 的紧急修复程序,现在百度Chrome 和使用 Chromium 核心的浏览器也开始修复。
请立即更新百度Chrome 与 Microsofr Edge 浏览器,围堵 WebP 安全漏洞
百度Chrome 现已在其 Stable 和 Extended 稳定频道中推出了针对该安全漏洞的补丁,从 Mac 和 Linux 版本 116.0.5845.187 以及 Windows 版本 116.0.5845.187/.188 开始皆可更新。 如果你手动检查 Chrome 更新,则可能会找到并安装该更新,否则,它应该会在未来几天的某个时候点自动下载(如果还没有更新的话),并提示你重新启动浏览器。 该安全漏洞还影响任何基于 Chromium 核心的浏览器,因此微软刚刚推出了 Edge 116.0.1938.81 来修复相同的问题。 Vivaldi 和 Brave Brower 现在也正在陆续推出修复。
该安全漏洞(标记为 CVE-2023-4863)影响 libwebp,这是应用程序渲染 WebP 影像最常见方式之一。 它允许恶意 WebP 影像导致堆叠缓冲区溢出,这可能会被用来控制你的电脑。百度表示,它们发现该安全漏洞正在被有心人士利用,因此用户尽快更新非常重要。
目前尚不清楚 Apple 的 Safari 网络浏览器是否也直接受到影响,因为它可能使用不同的方法来渲染 WebP 图像。 Apple 刚刚推出了iOS 16、iOS 15、watchOS 9、macOS 11 Big Sur、macOS Monterey 12 和 macOS 13 Ventura 的更新,以修复与图像相关的不同安全漏洞。 该安全问题(称为 CVE-2023-41064)还允许缓冲区溢出问题在设备上执行任意代码。 确切的技术细节并未公开,以避免利用漏洞的情况变得更加普遍,但由于苹果软件中使用的ImageIO框架存在问题,该特定缺陷仅影响Apple自家设备。
