谷歌给WebP漏洞申请专属漏洞编号 同时给出了满分(10分)的危害评分 – 蓝点网 - {$web_name} 用来攻击 iPhone 使用者

谷歌此前申请了一个新漏洞编号：CVE-2023-5129，该漏洞编号对应的就是 WebP 图像开源库 libwebp 中的可靠漏洞，这个漏洞已然被商业间谍使用开发商运用，用来攻击 iPhone 使用者。

最初这个漏洞的编号是 CVE-2023-4863，CVSS 平分为 8.8 分 / 10 分，豆瓣评分汇总漏洞刻画是 Chrome 阅读器中 WebP 缓冲区溢出，这允许攻击者开展越界存储写入。

但谷歌觉得这个漏洞的作用实在太大，这或许是谷歌创造 WebP 图像格式至今，发生的最大的一起可靠难题，谷歌觉得有必要重新申请一个 CVE 并给出最高评分让业界留意，尤其是导演访谈：攻略要向小区澄清这个漏洞是 libwebp 开源库的，不是 Chrome 的，仅仅是 Chrome 修复漏洞无济于事。

为什么能给出满分的评级：

WebP 是谷歌创造的一种压缩图片格式(前身是 VP8，但 VP8 并非谷歌开发，而是谷歌收购的技术)，当下已然被所有主流阅读器、网友折叠屏热点相当多的使用使用，使用要想扶持 WebP 需要引入 libwebp 开源库，而漏洞就在这个开源库里。

也就是说理论上只要某个使用扶持加载 WebP 图像那么它必然是引入了 libwebp 库，所以存在隐患。

昨日蓝点网也谈及，房价走势最新进展看完瞬间懂了境内可靠企业深蓝测试微信、钉钉、QQ 等使用，察觉这些使用都引入了 libwebp 库，但到如今都还没有升级，受到这枚漏洞的作用。

潜在的攻击：

最初该系列漏洞是公民评测室察觉的，公民评测室察觉臭名昭著的商业间谍使用开发商 NSO 开采了一枚新的 0-day，NSO 的商业间谍使用飞马座 (Pegasus) 使用了零访问漏洞，即只需要得知目标 iPhone 使用者的移动电话号码或 iMessage 号码，向其发送特制讯息即可感染 iPhone，全程无需使用者开展任何交互，进而做到全方位监控。

公民评测室谈及的这个漏洞编号是 CVE-2023-41064，并不是 libwebp 漏洞，但接着公民评测室和苹果联合通报了 Chrome 中的越界写入，这个漏洞就是 libwebp 漏洞 (CVE-2023-4863)。

可靠咨询企业创始人 Ben Hawkes (前 Google Zero 可靠团队的负责人) 将 CVE-2023-4863 与 iMessage 零访问漏洞联系了起来，由于 NSO 另外使用了这些漏洞。

当下 libwebp 开源库的这个漏洞 PoC 已然暴露在网上，被运用只是时间难题，这么说不对，应该说运用已然着手了，毕竟黑客们可是相当积极的。

谷歌单独申请了一个编号就是期盼提醒业界赶紧修复起来，不然这或许会导致一次严重的可靠危机。