libwebp堆緩沖區(qū)溢出漏洞預(yù)警 （CVE-2023-4863）

2023-09-27

一、概要

近日，華為云關(guān)注到Google官方發(fā)布安全公告，披露Libwebp < 1.3.2版本中存在一處堆緩沖區(qū)溢出漏洞（CVE-2023-4863）。由于Libwebp用于無損壓縮的哈夫曼編碼算法存在缺陷，未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過構(gòu)造惡意的Webp文件觸發(fā)越界內(nèi)存寫入，成功利用漏洞可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。目前漏洞POC已公開，已發(fā)現(xiàn)在野攻擊利用，風(fēng)險高。

Libwebp是一款開源的用于編碼和解碼WebP圖像格式的組件庫，應(yīng)用比較廣泛。華為云提醒使用Libwebp的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://nvd.nist.gov/vuln/detail/CVE-2023-4863

https://github.com/advisories/GHSA-hhrh-69hc-fgg7

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急） 

三、漏洞影響范圍

影響版本：

Libwebp < 1.3.2

所有用到Libwebp組件的應(yīng)用（包括不局限于各主流瀏覽器、Linux操作系統(tǒng)、圖/影像處理軟件、Android應(yīng)用、Electron/ Flutter跨平臺框架等）

安全版本：

Libwebp ＞=1.3.2

四、漏洞處置

目前，官方已發(fā)布新版本修復(fù)了該漏洞，請受影響的用戶升級到安全版本：

https://github.com/webmproject/libwebp/tags

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。