【安全圈】谷歌为 libwebp 漏洞分配新的 CVE 编号，CVSS 评分 10 分。

发布于2023年10月6日2025年7月19日作者:cve-20

【安全圈】谷歌为 libwebp 漏洞分配新的 CVE 编号，CVSS 评分 10 分。

安全圈 2023-10-05 19:00

关键词

漏洞

谷歌为 libwebp 漏洞分配新的 CVE 编号，CVSS 评分 10 分。

Libwebp 是一个用于处理 WebP 格式图像编解码的开源库。9 月 6 日，苹果公司安全工程和架构（SEAR）部门和加拿大多伦多大学研究人员在 libwebp 库中发现了一个 0 day 漏洞，随后，谷歌将该漏洞分类为 Chrome 漏洞，CVE 编号 CVE-2023-4863，并于 1 周后修复了该漏洞。

9 月 21 日，安全研究人员 Ben Hawkes 将该漏洞与 CVE-2023-41064 相链接被用于零点击的 iMessage 漏洞利用链以感染 iPhone 设备。

9 月 25 日，谷歌将该漏洞重新归类为了 libwebp 中的堆溢出漏洞，并为该漏洞重新分配了 CVE 编号 CVE-2023-5129，CVSS 评分 10 分。漏洞影响谷歌 Chrome 浏览器 116.0.5845.187 以前版本，漏洞的重新分类对使用 libwebp 开源库的项目带来重大影响，包括 1Password、Signal、Safari、Mozilla Firefox、Microsoft Edge、Opera 以及原生 Android web 浏览器。

该漏洞存在于 libwebp 库使用的哈夫曼编码 ( Huffman Coding ) 算法 ReadHuffmanCodes ( ) 中。攻击者利用该漏洞可以通过恶意伪造的 HTML 页面实现越界内存写操作，引发软件崩溃、任意代码执行、敏感信息非授权访问等严重后果。

END

阅读推荐

【安全圈】MidgeDropper 新变种浮出水面