今年9月到10月,原因在于,最初科技大厂们对于该漏洞的真正根源似乎感到困惑,直到后续更多消息曝光,才知道该漏洞的影响范围比原先预估要大,而且是非常广泛。
具体而言,CVE-2023-4863为一位于WebP的堆积缓冲区溢位(Heap buffer overflow)漏洞,该漏洞的CVSS评分最初为8.8分,之后调整为9.6分,一开始揭露这个漏洞的主因,是存在于Chromium WebP图像处理层面,后续发现其关键是在开源编解码函式库libwebp。
基本上,可提供无失真压缩的图档格式WebP,是Google在2010年推出,近年已被广泛应用,例如,大家在网路下载图片时,或许已经常看到会储存成一个WebP档,而不是JPEG或PNG档。
因此,在Google修补后,我们看到更多消息, Mozilla针对该漏洞修补了Firefox与Thunderbird。此时我们察觉到,这个漏洞不仅影响浏览器,还有软体系统,因此也预期还会有更多相关修补消息。
果不其然,在9月14日,我们看到1Password的资安架构师就以「谁的CVE」为题,来阐释这个引起全球头痛的零时差漏洞。
原因在于,libwebp编解码函式库由WebM专案维护,该专案则是Google与其他许多公司的共同努力。因此,不只是Andorid、Firefox与Chromium有使用libwebp,从基于Chromium的专案来看,包括Chrome、Edge、Brave浏览器以及热门Electron框架,也使用libwebp,而在Electron框架之下,还有Visual Studio Code、Singal通讯软体、Slack协作平台等众多软体。
(图片来源/Adam Caudill)
到了9月底,资安界出现更多关于这个漏洞的讨论。
首先,Google在9月25日又公布了一个CVSS 10分的libwebp漏洞(CVE-2023-5129),但隔几天撤回该漏洞编号,并称其与CVE-2023-4863重复。主要原因可能在于,Google一开始是将该漏洞归类为Chrome,没有归类到libwebp,但又因为避免再次混淆,因此改为扩大CVE-2023-4863范围。