Linuxeden开源社区
苹果和谷歌不完全披露的 libwebp 漏洞造成大麻烦
两周前,苹果公司报告称,威胁者正在积极利用 iOS 系统中的一个零点击漏洞来安装间谍软件。几天后,谷歌报告了其 Chrome 浏览器中的一个 WebP 堆缓存区溢出漏洞,并且该漏洞已经被利用。这两个漏洞的相似之处,让安全研究人员认为它们极有可能源自同一个漏洞,特别是 libwebp,它是应用程序、操作系统和其他代码库用于处理 WebP 图像的代码库。由于这两个漏洞是单独披露的,拥有不同的 CVE,并没有追溯到根源,很有可能数百万个使用了 libwebp 的应用程序都存在该漏洞。这包括各种 Linux 操作系统、各种浏览器、各种使用 Electron 框架的的应用。