今年以来我们公众号已经停止做漏洞预警,本次例外发一下。Webp是由Google公司推出的一种全新的图片文件格式,同时支持有损压缩与无损压缩。WebP的设计目标是在减少文件大小的同时,达到和JPEG、PNG、GIF格式相同的图片质量,并提高传输效率。
9月22日,针对该漏洞的PoC已在网络上被公开。
iPhone、iPad、Mac、Windows、Android及其它操作系统下使用了有漏洞的webp组件的软件(如Chrome、Firefox、微信、钉钉、QQ、Edge、Brave、Signal、1Password 等)的用户都面临被攻击的风险。
-
https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zero-click-zero-day-exploit-captured-in-the-wild/
-
https://www.accessnow.org/publication/hacking-meduza-pegasus-spyware-used-to-target-putins-critic/
-
https://blog.isosceles.com/the-webp-0day/
安全防御建议:
-
所有应用软件升级到最新版本,或下载安装补丁。
-
交友聊天软件不要随便添加陌生人为好友。
-
不要随意访问不明网页链接。
原文始发于微信公众号(山石网科安全技术研究院):警惕Webp 0day可跨平台发起无感攻击
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论