谷歌日前申請了一個新漏洞編號：CVE-2023-5129，谷歌給該漏洞編號對應的洞申洞編的危點網就是 WebP 圖像開源庫 libwebp 中的安全漏洞，這個漏洞已經被商業間諜軟件開發商利用，請專北京西城高級資源上門按摩服務vx《1662+044+1662》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達用來攻擊 iPhone 用戶。屬漏

最初這個漏洞的號同害評編號是 CVE-2023-4863，CVSS 平分為 8.8 分 / 10 分，出滿漏洞描述是分分分藍 Chrome 瀏覽器中 WebP 緩沖區溢出，這允許攻擊者進行越界內存寫入。谷歌給

但谷歌覺得這個漏洞的洞申洞編的危點網影響實在太大，這可能是請專谷歌創造 WebP 圖像格式至今，發生的屬漏最大的一起安全問題，谷歌覺得有必要重新申請一個 CVE 并給出最高評分讓業界關注，號同害評尤其是出滿北京西城高級資源上門按摩服務vx《1662+044+1662》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達要向社區澄清這個漏洞是 libwebp 開源庫的，不是分分分藍 Chrome 的，僅僅是谷歌給 Chrome 修復漏洞無濟于事。

為什么能給出滿分的評級：

WebP 是谷歌創造的一種壓縮圖片格式(前身是 VP8，但 VP8 并非谷歌開發，而是谷歌收購的技術)，目前已經被所有主流瀏覽器、相當多的軟件使用，軟件要想支持 WebP 需要引入 libwebp 開源庫，而漏洞就在這個開源庫里。

也就是說理論上只要某個軟件支持加載 WebP 圖像那么它必然是引入了 libwebp 庫，所以存在風險。

昨天藍點網也提到，國內安全公司深藍檢測微信、釘釘、QQ 等軟件，發現這些軟件都引入了 libwebp 庫，但到現在都還沒有更新，受到這枚漏洞的影響。

潛在的攻擊：

最初該系列漏洞是公民實驗室發現的，公民實驗室發現臭名昭著的商業間諜軟件開發商 NSO 開采了一枚新的 0-day，NSO 的商業間諜軟件飛馬座 (Pegasus) 使用了零點擊漏洞，即只需要知道目標 iPhone 用戶的手機號碼或 iMessage 號碼，向其發送特制消息即可感染 iPhone，全程無需用戶進行任何交互，進而實現全方位監控。

公民實驗室提到的這個漏洞編號是 CVE-2023-41064，并不是 libwebp 漏洞，但隨后公民實驗室和蘋果聯合通報了 Chrome 中的越界寫入，這個漏洞就是 libwebp 漏洞 (CVE-2023-4863)。

安全咨詢公司創始人 Ben Hawkes (前 Google Zero 安全團隊的負責人) 將 CVE-2023-4863 與 iMessage 零點擊漏洞聯系了起來，因為 NSO 同時使用了這些漏洞。

目前 libwebp 開源庫的這個漏洞 PoC 已經暴露在網上，被利用只是時間問題，這么說不對，應該說利用已經開始了，畢竟黑客們可是非常積極的。

谷歌單獨申請了一個編號就是希望提醒業界趕緊修復起來，不然這可能會造成一次嚴重的安全危機。