涉及libwebp库的关键漏洞解析

文章重点

• Google发现libwebp库中的漏洞，优先处理。
• 漏洞被评为10.0的危急评分，NIST评分为8.8。
• 漏洞可能导致攻击者通过恶意HTML执行任意代码。
• WebP格式支持更高效的图像压缩，影响广泛。
• 该漏洞与Pegasus间的联系仍待证实。

分析师在周三指出，安全团队应该优先修复Google本周一识别的libwebp（WebP）库中的堆缓冲区溢出漏洞。

该漏洞被标记为，Google为其提供了10.0的极为危急的CVSS评分，而NIST则给予高风险的8.8评分。虽然评分差异的原因尚不明确，但安全专家指出，该漏洞可能导致越界内存写入，使攻击者能够利用恶意制作的HTML页面执行任意代码。

Critical Start的网络威胁研究高级经理CallieGuenther表示：“这个漏洞有潜力影响众多主流浏览器和应用程序，这也可能导致Google给出其最高严重性评级。此外，已有报告显示，该漏洞正在被广泛利用，这更加证明了其高CVSS评分。至于评分差异，两个机构的视角可能不同，Google可能从受影响供应商的角度看待漏洞，而NIST则作为第三方评估者。”

WebP是一种现代图像格式，可以在网页上提供优越的无损和有损压缩。使用WebP，网站管理员和开发者能够创建更小、更丰富的图像，从而提升网页加载速度。

WebP漏洞与Pegasus间的关联性仍在推测中

本周WebP漏洞的消息发布，正值、和发布补丁以修复一个独立追踪的漏洞，分别为和，该漏洞可能导致在处理特别设计的图像时发生。

CitizenLab报告称，CVE-2023-41064可能与CVE-串联，构成一条名为BLASTPASS的零点击iMessage攻击链，这一链条置入了Pegasus间谍软件。

CriticalStart的Guenther指出，尽管这些指标和报告可以提供背景并暗示可能的联系，但在网络安全中，确切的归属通常是困难的，往往需要深入分析和更多证据。因此，Guenther表示，直到进一步调查和确凿证据出现，关于此次新漏洞与Pegasus的任何联系仍然是推测。

“无论来源如何，当像这样的漏洞被公开知晓后，我们的时间就越发紧迫，直到有效载荷生成器更容易被找到，”Tanium的终端安全研究主管MelissaBischoping说。

Bischoping补充称，尽管目前已存在一些概念验证代码，但尚未被武器化。即使安全团队对报告利用此漏洞的威胁集团并不担心，他们仍应优先进行漏洞识别和修复规划，因为其他集团可能很快采纳并武器化此类漏洞。

“现代软件的特性使得许多独特产品可能在其最终产品中使用共享的第三方库，”Bischoping解释说。“这就意味着，第三方库中的漏洞与仅在最终产品中使用的代码中的漏洞是不同且更令人担忧的。当在这些共享库中发现漏洞时，需要进行一定程度的负责任