穀歌日前申請了一個新漏洞編號：CVE-2023-5129，該漏洞編號對應的就是 WebP 圖像開源庫 libwebp 中的安全漏洞，這個漏洞已經被商業間諜軟件開發商利用，用來攻擊 iPhone 用戶。

最初這個漏洞的編號是 CVE-2023-4863，CVSS 平分為 8.8 分 / 10 分，漏洞描述是 Chrome 瀏覽器中 WebP 緩衝區溢出，這允許攻擊者進行越界內存寫入。

但穀歌覺得這個漏洞的影響實在太大，這可能是穀歌創造 WebP 圖像格式至今，發生的最大的一起安全問題，穀歌覺得有必要重新申請一個 CVE 並給出最高評分讓業界關注，尤其是要向社區澄清這個漏洞是 libwebp 開源庫的，不是 Chrome 的，僅僅是 Chrome 修複漏洞無濟於事。

為什麽能給出滿分的評級：

WebP 是穀歌創造的一種壓縮圖片格式(前身是 VP8，但 VP8 並非穀歌開發，而是穀歌收購的技術)，目前已經被所有主流瀏覽器、相當多的軟件使用，軟件要想支持 WebP 需要引入 libwebp 開源庫，而漏洞就在這個開源庫裏。

也就是說理論上隻要某個軟件支持加載 WebP 圖像那麽它必然是引入了 libwebp 庫，所以存在風險。

昨天藍點網也提到，國內安全公司深藍檢測微信、釘釘、QQ 等軟件，發現這些軟件都引入了 libwebp 庫，但到現在都還沒有更新，受到這枚漏洞的影響。

潛在的攻擊：

最初該係列漏洞是公民實驗室發現的，公民實驗室發現臭名昭著的商業間諜軟件開發商 NSO 開采了一枚新的 0-day，NSO 的商業間諜軟件飛馬座 (Pegasus) 使用了零點擊漏洞，即隻需要知道目標 iPhone 用戶的手機號碼或 iMessage 號碼，向其發送特製消息即可感染 iPhone，全程無需用戶進行任何交互，進而實現全方位監控。

公民實驗室提到的這個漏洞編號是 CVE-2023-41064，並不是 libwebp 漏洞，但隨後公民實驗室和蘋果聯合通報了 Chrome 中的越界寫入，這個漏洞就是 libwebp 漏洞 (CVE-2023-4863)。

安全谘詢公司創始人 Ben Hawkes (前 Google Zero 安全團隊的負責人) 將 CVE-2023-4863 與 iMessage 零點擊漏洞聯係了起來，因為 NSO 同時使用了這些漏洞。

目前 libwebp 開源庫的這個漏洞 PoC 已經暴露在網上，被利用隻是時間問題，這麽說不對，應該說利用已經開始了，畢竟黑客們可是非常積極的。

穀歌單獨申請了一個編號就是希望提醒業界趕緊修複起來，不然這可能會造成一次嚴重的安全危機。

(责任编辑：銅仁地區)