又一个基础组件满分漏洞曝光！曾因披露不当引发全球安全社区混乱-电子工程专辑

又一个基础组件满分漏洞曝光！曾因披露不当引发全球安全社区混乱

谈思实验室 2023-09-30 18:01 1627浏览 0评论 0点赞

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

据不完全统计，使用libwebp组件的下游软件可能超过百万款，或将使其成为下一个Log4Shell漏洞。

安全内参9月27日消息，谷歌为近期热议的libwebp漏洞申请了独立漏洞编号CVE-2023-5129，终结了安全社区的混乱讨论。

该漏洞此前曾被攻击者利用发动零日攻击，并在两周前开始披露和修复。

9月6日，苹果安全工程与架构团队与加拿大研究机构公民实验室共同向谷歌报告。公民实验室安全长期监测并披露那些被滥用于发动针对性间谍软件攻击的零日漏洞。

9月11日，谷歌在首次披露时，将这个漏洞归属为Chrome浏览器漏洞（CVE-2023-4863），没有将漏洞归咎于负责WebP格式图像编解码的libwebp开源库。

谷歌错误地将漏洞标记为Chrome缺陷，导致网络安全社区一片混乱。人们开始质疑，为何谷歌将漏洞归类为Chrome问题，而不是识别为libwebp漏洞。

安全咨询公司Isosceles创始人、曾领导谷歌Project Zero团队的Ben Hawkes还将CVE-2023-4863与苹果于9月7日修复的CVE-2023-41064漏洞联系在一起。后者被滥用于发动零点击iMessage攻击链（称为BLASTPASS），感染已完全修补的iPhone，并安装NSO集团开发的“飞马”商业间谍软件。

新的“满分”严重漏洞

现在，这个漏洞已经分配了新的漏洞编号CVE-2023-5129，并被标记为libwebp的严重漏洞，威胁等级达到最高的满分10分。这一变化对于使用libwebp开源库的其他软件具有重大意义。

漏洞被正式认定为libwebp缺陷，它涉及WebP中的堆缓冲区溢出，影响116.0.5845.187之前的Chrome版本。

这个漏洞位于libwebp用于无损压缩的哈夫曼编码算法内。它使攻击者能够使用恶意构建的HTML页面执行越界内存写入。

这种类型的漏洞利用可能会导致崩溃、任意代码执行、未经授权访问敏感信息等严重后果。

将CVE-2023-5129重新分类为libwebp漏洞非常重要。因为最初，业界未能发现该漏洞对许多使用libwebp的项目构成潜在安全威胁。这些项目包括1Password、Signal、Safari、火狐、Microsoft Edge、Opera和原生安卓网络浏览器等。

修订后的威胁等级说明，上述软件必须尽快处理这一安全漏洞（CVE-2023-5129），确保用户数据安全。

参考资料：bleepingcomputer.com

图为目标公司Juno Newco主要财务数据。

公开资料显示，交易对方捷普新加坡，是提供综合设计、制造、供应链和产品管理服务的制造解决方案供应商。据苹果公司公布的2022财年供应商名单，捷普公司是苹果供应商，为苹果供应产品的工厂位于中国广东、河北、江苏、四川以及印度马哈拉施特拉邦。该公司是纽约证券交易所上市公司捷普的全资子公司。2023年8月，捷普入选2023年《财富》世界500强排行榜，排名第456位。

捷普最新发布的财报数据。

比亚迪电子是全球领先的平台型高端制造企业，业务涵盖智能手机、平板电脑、新能源汽车、智能家居、游戏硬件、无人机、物联网、机器人、通信设备、医疗健康设备等多元化的市场领域。本次收购将拓展比亚迪电子客户与产品边界，拓宽智能手机零部件业务，大幅改善比亚迪电子客户与产品结构，进一步抓住市场发展机遇，增加核心器件产品的战略性布局，助推比亚迪电子产业升级，迈入新一轮的高速成长周期。在提高产品市场占有率的同时，与比亚迪电子现有产品有效协同，提升公司的整体竞争力，保持长期可持续发展，为客户及股东创造价值。