查看原文
其他

WebP漏洞影响深远 测试显示钉钉/QQ等多款软件都面临风险

山外的鸭子哥 蓝点网 2023-09-27

此前苹果发布安全公告修复 CVE-2023-41064 和 CVE-2023-4863 漏洞,攻击者利用该漏洞可以向 iPhone 和 iPad 发送特制信息,受害者手机或平板只要收到这条信息就会触发漏洞,无需用户进行任何交互,危害程度极高。

根据调查该漏洞被商业间谍软件公司用来开发间谍软件,专门针对一些高价值的特定用户发起攻击,背后的目的自然不是为了钱。

事实证明这个漏洞并不只是威胁 iPhone 和 iPad,因为漏洞是 WebP 图像开源库 libwebp 中的,理论上只要软件调用了这个开源库那么都受影响。

所以目前 Google Chrome、Mozilla Firefox、Microsoft Edge 等浏览器均已发布更新修复这个漏洞,然而还有很多软件并未修复。

PoC 概念验证已经被公布:

更糟糕的是目前网上已经出现了该漏洞的 PoC,实际上有一些能力的黑客很容易找出漏洞的利用方法,因此只需要制作特定图片进行投递即可,尽管不一定可以实现无感攻击,但想要成功发起攻击并不难。

仍然还有不少软件未更新:

网络安全公司 DarkNavy (深蓝,就是之前曝光并夕夕那家安全公司) 日前发布了一篇分析报告,根据深蓝的测试,国内也有很多软件受该漏洞影响,因为它们也需要调用 libwebp 开源库来加载 WebP 图像。

受影响的包括但不限于某绿色软件、钉钉、QQ 等国民级即时通讯 / 协作类软件,目前这些软件都还没有发布更新进行修复。

至于其他用户量稍微比某绿色软件、钉钉、QQ 低一些的类似软件自然也受该漏洞影响,当然除了即时通讯、协作类软件,其他能够发送和展示图片的软件多半也会受这个漏洞影响,只要这些软件支持 WebP 图像,那么大概率都是调用 libwebp 开源库的。

所以在这里蓝点网也提醒各位近期碰到一些软件弹出的升级提示一定要及时升级,因为这很有可能就是用来修复该漏洞的。

尤其是在 PoC 已经被公布的情况下,这下会有很多黑客参与进来,到时候就不是针对高价值客户了,可能普通用户也会被攻击。

深蓝表示:

在本案例中,漏洞发生在一个常用基础库中,实际受影响的软件产品数量超乎想象,但能及时修复漏洞的厂商微乎其微。

管中窥豹,与 Chrome、Firefox 等团队相比,国内软件开发商在漏洞信息获取、漏洞研判、漏洞修复、应急响应等诸多环节存在明显不足。

只有安全应急从被动走向主动,才能让“安全”更真实。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存