3520 подписчиков
#news Вслед за развернувшимся на днях скандалом с Google и Apple, скрывшими детали исправленной компаниями уязвимости, Гугл раскрывает карты. Встречайте CVE-2023-5129, уязвимость ни в каком не Хроме, а в библиотеке libwebp. Десяточка по шкале CVSS.
Спустя две недели после выпущенных Гуглом исправлений и замалчивания проблемы, у нас официально есть критическая уязвимость, возможно, эксплойты. Ошибка на переполнение буфера в Webp, а с ней и произвольное выполнение кода, и прочие радости. Под угрозой, соответственно, всё ПО и платформы, в которых интегрирована эта библиотека. В том числе Signal, 1password, нативные браузеры под Андроид и полдюжины десктопных. В общем-то, проще сказать, где libwebp не встроена. Гугл по следам своего конфуза комментарии давать не спешит. Оно и понятно.
Около минуты
27 сентября 2023