今年以来我们公众号已经停止做漏洞预警,本次例外发一下。Webp是由Google公司推出的一种全新的图片文件格式,同时支持有损压缩与无损压缩。WebP的设计目标是在减少文件大小的同时,达到和JPEG、PNG、GIF格式相同的图片质量,并提高传输效率。
9月22日,针对该漏洞的PoC已在网络上被公开。
iPhone、iPad、Mac、Windows、Android及其它操作系统下使用了有漏洞的webp组件的软件(如Chrome、Firefox、微信、钉钉、QQ、Edge、Brave、Signal、1Password 等)的用户都面临被攻击的风险。
-
https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zero-click-zero-day-exploit-captured-in-the-wild/
-
https://www.accessnow.org/publication/hacking-meduza-pegasus-spyware-used-to-target-putins-critic/
-
https://blog.isosceles.com/the-webp-0day/
安全防御建议:
-
所有应用软件升级到最新版本,或下载安装补丁。
-
交友聊天软件不要随便添加陌生人为好友。
-
不要随意访问不明网页链接。
原文始发于微信公众号(山石网科安全技术研究院):警惕Webp 0day可跨平台发起无感攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论