近期,工业和信息化部网络安全威胁和漏洞信息共享平台监测发现,开源图像编解码库libwebp存在堆缓冲区溢出高危漏洞,影响范围广泛。
Libwebp是谷歌公司推出的处理WebP格式图像的开源编解码库,广泛应用于浏览器、Linux操作系统、框架、应用程序、容器镜像等。由于libwebp在解析WebP格式图像时缺少必要的数据验证,未授权攻击者可构造包含特定图片的恶意链接,引诱用户点击执行程序并导致堆缓冲区溢出,远程执行任意代码,在某些条件下可实现零点击利用。
该漏洞影响使用libwebp(<v1.3.2)的网络产品和信息系统,包括:Google Chrome(for Mac/Linux<116.0.5845.187,for Windows<116.0.5845.187/.188)、Mozilla Firefox(<117.0.1)、Microsoft Edge(<109.0.1518.140,116.0.1938.81, 117.0.2045.31)、ubuntu、Debian、Redhat等Linux发行版、Electron框架(<22.3.24, 24.8.3, 25.8.1, 26.2.1, 27.0.0-beta.2)、CEF框架(chromium内核<116.0.5845.188或<117.0.5938.62)等众多产品。目前,谷歌公司及受影响的产品厂商已陆续发布新版本修复该漏洞。
建议相关单位和用户及时升级存在漏洞隐患的产品版本,采取禁用WebP格式解析、校验文件类型等安全措施,谨慎打开未知来源的图片或网页链接,防范漏洞利用风险。
感谢奇安信网神信息技术(北京)股份有限公司、三六零数字安全科技集团有限公司参与漏洞研判并提供技术支持。
声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 [email protected]。