主流瀏覽器請(qǐng)盡快升級(jí)，谷歌 WebP 圖片格式被曝堆緩沖區(qū)溢出漏洞

IT之家 9 月 16 日消息，美國(guó)國(guó)家標(biāo)準(zhǔn)及技術(shù)研究所（NIST）近日發(fā)布安全公告，發(fā)現(xiàn)谷歌推出的 WebP 圖片格式存在堆緩沖區(qū)溢出漏洞。

這個(gè)漏洞追蹤編號(hào)為 CVE-2023-4863，谷歌表示目前已經(jīng)發(fā)現(xiàn)了相關(guān)證據(jù)，表明有黑客利用該漏洞發(fā)起攻擊。

這個(gè)漏洞是由于在 Webp 的邏輯處理中沒(méi)有正確實(shí)現(xiàn)哈夫曼表，BuildHuffmanTable 函數(shù)中存在越界寫(xiě)入問(wèn)題，攻擊者可能通過(guò)構(gòu)造惡意數(shù)據(jù)執(zhí)行任意代碼。

除了 Chrome、Firefox 等一眾瀏覽器之外，包括 Signal、1Password 在內(nèi)使用該技術(shù)的軟件也存在問(wèn)題。

IT之家在此附上已經(jīng)修復(fù)的瀏覽器版本如下：

谷歌：

• Chrome 版本 116.0.5846.187（適用于 Mac 和 Linux）

• Chrome 版本 116.0.5845.187/.188（適用于 Windows）

Mozilla：

• Firefox 117.0.1

• Firefox ESR 102.15.1

• Firefox ESR 115.2.1

• Thunderbird 102.15.1

• Thunderbird 115.2.2

微軟：

• Edge version 116.0.1938.81

Brave

• Brave Browser version 1.57.64

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。