有一个新的关键安全问题影响到网络浏览器以及其他使用libwebp的软件. 这感觉很像LOG4J漏洞,因为libwebp不是您可以看到的应用程序, 而是其他应用程序中的嵌入式模块.
立即采取的行动是更新你所有的网络浏览器到当前的水平. 希望你所有的浏览器都设置为自动更新. (如果你需要帮助让你的浏览器自动更新,请APP客户端).
然后我们必须等待,以了解供应商披露他们正在使用该软件模块,并及时更新这些应用程序.
这可能会持续一段时间,因为我们都知道这是一个多么大的问题,超出了明显的web浏览器. 我们将在收到更多信息后与大家分享.
下面是更详细的描述. 如果您有任何问题,请告诉我们.
详情如下:
我们正在与您联系libwebp的一个关键零日安全漏洞(CVE-2023-5129), 许多常用的软件程序都使用哪一种, 例如谷歌 Chrome, Mozilla Firefox, 苹果Safari, 1密码, 信号, WhatsApp, 还有很多其他的.
此漏洞允许攻击者制作恶意网络P图像, 当受害者打开这些图像, 攻击者可以执行任意代码并访问敏感用户数据. 简而言之,仅仅浏览一张图片就可能导致一个人被黑客入侵.
发生了什么事?
CVE-2023-5129是最近在libwebp库中披露的一个严重的零日漏洞, 在众多软件应用程序和平台中,哪些构成了重大的安全风险. 最初报告为CVE-2023-4863, 该漏洞是在开源libwebp库的无损压缩组件中发现的, 谁负责编码和解码网络P格式的图像.
具体地说, CVE-2023-5129是网络P中用于无损压缩的霍夫曼编码算法中的堆缓冲区溢出问题. 此漏洞允许攻击者制作恶意网络P图像, 当受害者打开这些图像, 攻击者可以执行任意代码并访问敏感用户数据.
这有多糟糕??
堆缓冲区溢出漏洞, 如CVE-2023-5129, 是非常严重的, 为攻击者提供执行恶意代码或获得对系统的未经授权访问的能力. 这不仅为潜在的系统控制打开了大门,也为数据盗窃和恶意软件的引入打开了大门. 谷歌证实了CVE-2023-4863漏洞的存在, 凸显了及时解决这一安全问题的紧迫性和重要性.
libwebp库, 哪些被广泛集成到各种应用程序和平台中, 已经大大扩大了CVE-2023-5129的曝光率和潜在影响. The vulnerability is not restricted to affecting web browsers solely; it extends its perilous influence to any software reliant on the libwebp library. 因此, 在Linux上运行的大量应用程序和系统, 安卓, 窗户。, macOS, 其他平台也面临着迫在眉睫的威胁, 这强调了立即采取警惕的保护措施的必要性.
如何保护自己
用户和管理员应紧急:
将所有使用libwebp库的软件更新到最新版本. 包括像谷歌 Chrome这样的浏览器, Mozilla Firefox, 苹果Safari, 微软的优势, 和其他应用程序,如1密码, 信号, 和WhatsApp, 在许多其他方面.
依赖libwebp库的开发人员和组织应该优先更新到修补版本,以保护他们的用户. 作为用户, 确保您的系统和应用程序定期更新, 并始终从官方来源下载更新,以避免成为针对此漏洞的攻击的受害者.
-Scott Quimby, CISSP
最近的评论