近年憑高壓縮率、開啟速度快而在網頁應用上廣為利用的 WebP 圖檔格式,其編解碼函式庫 libwebp 被發現存在重大漏洞,被波及的不單是所有瀏覽器,還涉及所有用到 libwebp 函式庫的應用,包括 Signal 和用來開發跨平台桌面應用的 Electron 框架,潛在影響範圍廣闊,4 大主要瀏覽器包括 Google Chrome、Mozilla Firefox、Microsoft Edge 和 Brave 都已經推出修補更新,Electron 亦在日前推出修補程式。而 Apple 這兩星期推出的一系列更新亦據報修補了這個漏洞。大家應該密切留意所有用到 Webp 圖檔的程式,如有更新應立即安裝。
libwebp 是 WebP 圖像格式的編解碼函式庫,應用範圍廣泛,包括多種跨平台開發框架和不同類型軟件。除了圖像設計軟件如 Affinity、Gimp、Inkscape 之外,文書處理軟件如 LibreOffice、加密即時通訊軟件如 Telegram 和 Signal、電郵軟件 Mozilla Thunderbird、免費閱圖軟件 Honeyview、影片處理軟件庫的 ffmpeg,甚至密碼管理軟件 1Password 與及大量 Android 軟件及使用 Flutter 和 Electron 等框架來製作的跨平台軟件都無一幸免。
除了以上已知軟件外,還有大量未知軟件使用了 libwebp 函式庫,而使用 Flutter 和 Electron 等框架開發的跨平台軟件亦要等到開發者以框架提供的修正檔來修補才能推出更新,所以大家不要因為本文沒有列出而掉以輕心,一推出更新就應立即安裝。
這個編號為 CVE-2023-4863 的漏洞,涉及在顯示 WebP 格式圖片時出現堆緩衝區溢位問題,導致惡意分子可以上傳加入惡意程式內容的 WebP 圖檔來令電腦或手機執行任意程式碼,從而獲得裝置存取權。據知,這個漏洞已經開始被惡意分子利用。