主流浏览器请尽快升级，谷歌 WebP 图片格式被曝堆缓冲区溢出漏洞

图片地址：https://img.ithome.com/newsuploadfiles/2023/9/90efc57b-5479-410c-8a09-734dbe3b6d45.png?x-bce-process=image/format,f_auto

IT之家 9 月 16 日消息，美国国家标准及技术研究所（NIST）近日发布安全公告，发现谷歌推出的 WebP 图片格式存在堆缓冲区溢出漏洞。这个漏洞追踪编号为 CVE-2023-4863，谷歌表示目前已经发现了相关证据，表明有黑客利用该漏洞发起攻击。这个漏洞是由于在 Webp 的逻辑处理中没有正确实现哈夫曼表，BuildHuffmanTable 函数中存在越界写入问题，攻击者可能通过构造恶意数据执行任意代码。除了 Chrome、Firefox 等一众浏览器之外，包括 Signal、1Password 在内使用该技术的软件也存在问题。IT之家在此附上已经修复的浏览器版本如下：谷歌：Chrome 版本 116.0.5846.187（适用于 Mac 和 Linux）Chrome 版本 116.0.5845.187/.188（适用于 Windows）Mozilla：Firefox 117.0.1Firefox ESR 102.15.1