放大/检测到恶意软件的警告屏幕,带有抽象二进制代码 3D 数字概念(图片来源:Getty Images)
谷歌悄悄地重新提交了一个影响数千个单独应用程序和软件框架的关键代码执行漏洞的披露,此前该漏洞给读者留下了该威胁仅影响 Chrome 浏览器的错误印象。
该漏洞源自 Google 于 2010 年创建的 libwebp 代码库,用于以 webp 格式渲染图像,webp 是一种当时的新格式,导致文件比 PNG 图像小 26% 。 Libwebp 几乎被整合到每个应用程序、操作系统或其他渲染 webp 图像的代码库中,最引人注目的是 Chrome 中使用的 Electron 框架以及在桌面和移动设备上运行的许多其他应用程序。
两周前,谷歌针对 Chrome 中 WebP 的堆缓冲区溢出问题发布了安全公告。 Google 的正式描述为 CVE-2023-4863,将受影响的供应商定义为“Google”,受影响的软件定义为“Chrome”,尽管任何使用 libwebp 的代码都存在漏洞。批评者警告说,谷歌未能注意到数千个其他代码段也存在漏洞,这将导致修补该漏洞的不必要的延迟,这使得攻击者可以在用户除了查看诱杀的 webp 图像之外什么都不做的情况下执行恶意代码。