漏洞描述:
CVE-2023-4863 是 WebP 中的一个严重堆缓冲区溢出漏洞,WebP 是一种替代 JPEG、PNG 和 GIF 文件格式的光栅图形文件格式。
缓冲区溢出可能导致崩溃、无限循环,并可用于执行任意代码。
漏洞影响:
该漏洞可被用于远程代码执行,已出现在野利用,webp图片处理组件由google维护并开源,在移动、PC、服务端图片处理场景被广泛被引用。大多数浏览器(Chrome、Firefox、Breve、Tor 浏览器等)、许多 Linux 发行版(Ubuntu、Debian、Gentoo、SUSE 等) .)、密码管理器(1Password、BitWarden 等)和其他软件(MS Teams、Slack、Telegram、Signal、Basecamp、Discord、GitHub Desktop 等)。
影响版本:
libwebp <= 0.5 和 < 1.3.2
chromium/chrome < 116.0.5845.187
漏洞验证:
https://github.com/mistymntncop/CVE-2023-4863
漏洞参考:
https://nvd.nist.gov/vuln/detail/CVE-2023-4863
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html?m=1
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/webp-codec-library-vulnerability.html
