安全公告編號:CNTA-2023-0016

2023年9月27日，國家信息安全漏洞共享平臺（CNVD）收錄了libwebp開源庫遠程代碼執(zhí)行漏洞（CNVD-2023-73247，對應CVE-2023-5129、CVE-2023-4863）。攻擊者利用該漏洞可以在目標主機設備執(zhí)行任意代碼或敏感信息未授權訪問。目前，該漏洞的利用細節(jié)和測試代碼已公開，開源庫廠商已發(fā)布新版本完成修復。CNVD建議受漏洞影響的產品（服務）廠商、信息系統運營者和用戶盡快進行修復。

一、漏洞情況分析

WebP是Google公司開發(fā)的一種圖像格式，支持網絡圖像的有損和無損壓縮，其壓縮效果和速度較PNG和JPEG格式具有一定優(yōu)勢。libwebp是實現WebP圖像格式編解碼的C/C++開源庫。libwebp通過提供功能函數和系列工具，可將圖像數據編碼為WebP格式，以及將WebP格式圖像進行解碼還原。libwebp也可作為依賴庫，實現程序對WebP圖像格式的支持。libwebp在容器鏡像、框架、瀏覽器、Linux操作系統和應用程序等具有較多應用。

近日，Google公司發(fā)布安全公告修復了libwebp開源庫遠程代碼執(zhí)行漏洞。libwebp的BuildHuffmanTable函數在使用霍夫曼算法（Huffman）對Webp圖片進行解碼時，由于缺少必要的輸入驗證，存在內存越界寫入缺陷。未經身份認證的攻擊者通過制作惡意頁面或文件，誘導用戶瀏覽訪問執(zhí)行越界內存寫入，實現對目標主機設備的遠程任意代碼執(zhí)行或者敏感信息未授權訪問。該漏洞在某些環(huán)境條件下可被實現零點擊利用（0-Click）。

CNVD對該漏洞的綜合評級為“高?！薄?/p>

二、漏洞影響范圍

該漏洞影響的產品和版本為：

使用libwebp（低于1.3.2版本）處理WebP格式圖像的框架、軟硬件產品（服務）和信息系統。

目前，已知受該漏洞影響的產品和框架包括：

Google Chrome for Mac/Linux < 116.0.5845.187

Google Chrome for Windows < 116.0.5845.187/.188

Mozilla Firefox < 117.0.1

Microsoft Edge < 109.0.1518.140, 116.0.1938.81, 117.0.2045.31

Electron < 22.3.24, 24.8.3, 25.8.1, 26.2.1, 27.0.0-beta.2

三、漏洞處置建議

目前，Google公司及受影響的產品（服務）廠商已陸續(xù)發(fā)布新版本修復該漏洞。CNVD建議受漏洞影響的產品（服務）廠商、信息系統運營者和用戶盡快進行自查，及時進行版本更新和漏洞修復。

文章來源：國家信息安全漏洞共享平臺