越界写入漏洞：谷歌浏览器修复

2023-09-16 11:41:33 作者：姚立伟

美国国家标准及技术研究所（NIST）近日发布安全公告，发现谷歌推出的WebP图片格式存在堆缓冲区溢出漏洞。该漏洞的追踪编号为CVE-2023-4863，谷歌表示已经发现了相关证据，表明有黑客可能利用该漏洞发起攻击。 这个漏洞是由于在WebP的逻辑处理中没有正确实现哈夫曼表，BuildHuffmanTable函数中存在越界写入问题，攻击者可能通过构造恶意数据执行任意代码。除了Chrome、Firefox等浏览器之外，使用该技术的软件如Signal、1Password也存在问题。 针对这个问题，谷歌已经发布了已经修复的浏览器版本，包括Chrome版本116.0.5846.187（适用于Mac和Linux）和Chrome版本116.0.5845.187/188（适用于Windows）；Mozilla也发布了Firefox 117.0.1、Firefox ESR 102.15.1、Firefox ESR 115.2.1和Thunderbird 102.15.1、115.2.2等浏览器版本；微软也发布了Edge版本116.0.1938.81和Brave浏览器版本1.57.64。