信息技术中心
Libwebp堆缓冲区溢出漏洞预警
信息来源:信息技术中心 作者:邹国忠 时间:2023-09-28 10:16 阅读次数: 发布:网络信息安全

一、概要

近日,基地政务云安全运维团队关注到Google官方发布安全公告,披露Libwebp < 1.3.2版本中存在一处堆缓冲区溢出漏洞(CVE-2023-5129)。由于Libwebp用于无损压缩的哈夫曼编码算法存在缺陷,未经身份验证的远程攻击者通过构造恶意的Webp文件触发越界内存写入,成功利用漏洞可实现远程代码执行。目前漏洞POC已公开,已发现在野攻击利用,风险高。

Libwebp是一款开源的用于编码和解码WebP图像格式的组件库,应用比较广泛。华为云提醒使用Libwebp的用户及时安排自检并做好安全加固。

参考链接:

https://nvd.nist.gov/vuln/detail/CVE-2023-5129

https://github.com/advisories/GHSA-hhrh-69hc-fgg7

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、 影响范围

影响版本:

Libwebp < 1.3.2

所有用到Libwebp组件的应用(包括不局限于各主流浏览器、Linux操作系统、图/影像处理软件、Android应用、Electron/ Flutter跨平台框架等)

安全版本:

Libwebp =1.3.2

四、安全建议

目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本:

https://github.com/webmproject/libwebp/tags

注:修复漏洞前请将资料和数据进行备份,并与客户应用供应商和维护方确认并进行充分测试。

上一条:微软10月份月度安全漏洞预警 下一条: 微软9月份月度安全漏洞预警

  • 企业微信号

  • 学校公众号

  • 事业单位
  • 网警