内容摘要：谷歌为libwebp漏洞分配新的CVE编号，CVSS评分10分。Libwebp是一个用于处理WebP格式图像编解码的开源库。9月6日，苹果公司安全工程和架构SEAR）部门和加拿大多伦多大学研究人员在l

谷歌为libwebp漏洞分配新的开源库分CVE编号  ，CVSS评分10分。漏洞

Libwebp是开源库分一个用于处理WebP格式图像编解码的开源库。9月6日，亿华云漏洞苹果公司安全工程和架构（SEAR）部门和加拿大多伦多大学研究人员在libwebp库中发现了一个0 day漏洞 ，开源库分随后，漏洞谷歌将该漏洞分类为Chrome漏洞 
，开源库分CVE编号CVE-2023-4863，漏洞并于1周后修复了该漏洞 。开源库分

9月21日 ，建站模板漏洞安全研究人员Ben Hawkes将该漏洞与CVE-2023-41064相链接被用于零点击的开源库分iMessage漏洞利用链以感染iPhone设备
。

CVE-2023-5129：libwebp开源库10分漏洞

9月25日，漏洞谷歌将该漏洞重新归类为了libwebp中的开源库分堆溢出漏洞 ，并为该漏洞重新分配了CVE编号CVE-2023-5129 ，源码库漏洞CVSS评分10分。开源库分漏洞影响谷歌Chrome浏览器116.0.5845.187以前版本，漏洞的重新分类对使用libwebp开源库的项目带来重大影响，包括1Password、免费模板Signal 、Safari 、Mozilla Firefox、Microsoft Edge
、Opera以及原生 Android web浏览器
 。

该漏洞存在于libwebp库使用的源码下载哈夫曼编码(Huffman Coding)算法ReadHuffmanCodes()中  。攻击者利用该漏洞可以通过恶意伪造的HTML页面实现越界内存写操作，引发软件崩溃、任意代码执行 、敏感信息非授权访问等严重后果
。模板下载

文章翻译自：https://www.bleepingcomputer.com/news/security/google-assigns-new-maximum-rated-cve-to-libwebp-bug-exploited-in-attacks/如若转载 ，请注明原文地址