大工网安告[2023]035
一、情况分析
WebP是由Google公司开发的一种图像格式,WebP格式比JPEG和PNG格式更小,可为网络图像提供有损和无损压缩,主旨是在减少图像大小的同时不影响图片质量。libwebp是一个WebP图像编解码库,不仅应用于各大浏览器,且可作为依赖给其他组件加载使用,使用范围十分广泛。近日,实验室监测到网上爆发一个libwebp代码执行漏洞(CVE-2023-5129),攻击者可利用该漏洞在受影响系统中执行任意代码。
漏洞详情
该漏洞是由于未严格检查二级表查找的大小,当BuildHuffmanTable()尝试填充二级表时,可能会导致越界写入,成功利用此漏洞可实现任意代码执行。
二、影响范围
libwebp < 1.3.2
严重等级
威胁等级 |
高危 |
影响程度 |
广泛 |
利用价值 |
高 |
利用难度 |
中等 |
漏洞评分 |
10.0 |
三、处置建议
官方补丁
目前官方已修复该漏洞,受影响用户可以升级更新到libwebp 1.3.2及以上的安全版本。
官方下载链接:https://chromium.googlesource.com/webm/libwebp/+/902bc9190331343b2017211debcec8d2ab87e17a
https://chromium.googlesource.com/webm/libwebp/+/2af26267cdfcb63a88e5c74a85927a12d6ca1d76
参考链接
https://github.com/advisories/GHSA-hhrh-69hc-fgg7
