最近开源软件又爆出一个十级漏洞,该漏洞冲击范围巨大,涉及数百万不同的应用程序,其中也包括 iOS、Android 应用程序以及使用 Electron 构建的跨平台应用程序。
这个漏洞两周前就已经被苹果和谷歌发现,但苹果和谷歌在披露漏洞时缺乏关键信息,造成了“巨大的盲点”,导致全球范围内其他开发者提供的大量应用程序未能得到修补,这些应用程序可能一直处于攻击危险之中。
为什么会产生“巨大的盲点”
两周前,苹果报告称,威胁行为者正在积极利用 iOS 中的一个关键漏洞(编号为 CVE-2023-41064),以便安装世界上已知的最先进的恶意软件之一“飞马”(Pegasus)间谍软件。这些攻击使用了零点击的漏洞利用方法,也就是说攻击者不需要与目标进行任何交互,只要接收到 iPhone 上的来电或短信,就足以被“飞马”感染。
四天后,谷歌报告称, Chrome 浏览器中存在一个关键漏洞。谷歌表示,该漏洞被指定为 CVE-2023-4863,由苹果安全工程和架构团队以及公民实验室报告。披露中列出的受影响供应商为“谷歌”,受影响软件则为“Chrome”,而且该漏洞已经出现在野利用。谷歌和 Mozilla 马上紧急修复了各自浏览器(分别是 Chrome 和 Firefox)中的漏洞。
实际上,从谷歌的信息中,可以看出该漏洞源自谷歌于 2010 年开发的 libwebp 代码库,用于以 Webp 格式渲染图像。Webp 是当时的一种新兴格式,能