在本周稍早時候,WebP 編解碼器中的一個安全漏洞被披露,影響了許多應用程式和作業系統,其中,網頁瀏覽器面臨的風險最大,因為 WebP 影像現在在網路上很常見,但是一些支援 WebP 的應用程式(如 LibreOffice 和 Telegram)也需要修補以避免安全問題。Mozilla 剛剛推出了 Firefox 和 Thunderbird 的緊急修復程式,現在 Google Chrome 和使用 Chromium 核心的瀏覽器也開始修復。
請立即更新 Google Chrome 與 Microsofr Edge 瀏覽器,圍堵 WebP 安全漏洞
Google Chrome 現已在其 Stable 和 Extended 穩定頻道中推出了針對該安全漏洞的補丁,從 Mac 和 Linux 版本 116.0.5845.187 以及 Windows 版本 116.0.5845.187/.188 開始皆可更新。 如果你手動檢查 Chrome 更新,則可能會找到並安裝該更新,否則,它應該會在未來幾天的某個時候點自動下載(如果還沒有更新的話),並提示你重新啟動瀏覽器。 該安全漏洞還影響任何基於 Chromium 核心的瀏覽器,因此微軟剛剛推出了 Edge 116.0.1938.81 來修復相同的問題。 Vivaldi 和 Brave Brower 現在也正在陸續推出修復。
該安全漏洞(標記為 CVE-2023-4863)影響 libwebp,這是應用程式渲染 WebP 影像最常見方式之一。 它允許惡意 WebP 影像導致堆疊緩衝區溢出,這可能會被用來控制你的電腦。 Google 表示,它們發現該安全漏洞正在被有心人士利用,因此用戶盡快更新非常重要。
目前尚不清楚 Apple 的 Safari 網路瀏覽器是否也直接受到影響,因為它可能使用不同的方法來渲染 WebP 圖像。 Apple 剛剛推出了 iOS 16、iOS 15、watchOS 9、macOS 11 Big Sur、macOS Monterey 12 和 macOS 13 Ventura 的更新,以修復與影像相關的不同安全漏洞。 該安全問題(稱為 CVE-2023-41064)還允許緩衝區溢出問題在設備上執行任意程式碼。 確切的技術細節並未公開,以避免利用漏洞的情況變得更加普遍,但由於 Apple 軟體中使用的 ImageIO 框架存在問題,該特定缺陷僅影響 Apple 自家設備。
