蓝点网
·
谷歌给WebP漏洞申请专属漏洞编号 同时给出了满分(10分)的危害评分
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
谷歌发现WebP图像开源库libwebp中的安全漏洞,已被商业间谍软件攻击iPhone用户。漏洞可被用于零点击攻击,实现全方位监控。微信、钉钉、QQ等软件都引入了该库,但还未更新。谷歌提醒业界赶紧修复,以避免严重的安全危机。
🎯
关键要点
- 谷歌发现WebP图像开源库libwebp中的安全漏洞,编号为CVE-2023-5129。
- 该漏洞已被商业间谍软件开发商利用,攻击iPhone用户。
- 漏洞允许攻击者进行零点击攻击,实现全方位监控。
- 谷歌认为该漏洞是WebP图像格式以来最大的一起安全问题,重新申请了CVE并给出最高评分。
- WebP格式被所有主流浏览器和软件使用,存在广泛的安全风险。
- 国内安全公司发现微信、钉钉、QQ等软件引入了libwebp库,但尚未更新。
- 公民实验室发现NSO开发的商业间谍软件利用了该漏洞进行攻击。
- 安全咨询公司将libwebp漏洞与iMessage零点击漏洞联系起来,认为存在关联。
- libwebp漏洞的PoC已在网上曝光,黑客开始利用该漏洞。
- 谷歌提醒业界尽快修复漏洞,以避免严重的安全危机。
➡️
