一、漏洞影响范围扩大 最新披露的CVE-2023-4863漏洞不仅影响单个浏览器,而是存在于广泛使用的开源图像解码库libwebp中;作为WebP格式的核心组件,libwebp被Chrome、Firefox、Edge等主流浏览器采用。安全专家表示,所有支持WebP图像渲染的软件都可能受到攻击,影响范围涵盖桌面设备、移动设备和嵌入式系统。 二、攻击活动持续增加 苹果安全团队与多伦多大学研究发现,黑客已开始利用该漏洞实施攻击。攻击者通过特制WebP图像触发堆栈缓冲区溢出,在用户访问含恶意图片的网页时植入后门。由于WebP格式占互联网图像流量的30%以上,普通用户日常上网就可能面临风险。 三、厂商快速响应漏洞 各浏览器厂商迅速采取应对措施: 1. 火狐浏览器发布117.0.1版本,修复了libwebp内存溢出问题,同时解决了macOS系统链接跳转等衍生问题; 2. 基于Chromium的Edge、Opera等浏览器已集成谷歌提供的安全补丁; 3. 其他浏览器开发商也陆续发布更新,建议用户及时升级。 四、行业安全问题凸显 该事件暴露了开源组件供应链的脆弱性。数据显示,现代软件78%的代码来自开源库,但多数企业缺乏对第三方组件的持续监控。安全专家指出,随着WebP、FFmpeg等基础组件的普及,类似"单点故障影响全局"的风险将长期存在。
安全漏洞的处置时效至关重要,补丁能否及时推送直接影响风险控制效果;在开源组件广泛应用的今天,保持软件更新已成为基本安全要求。只有通过完善供应链管理和应急机制,才能有效应对不断变化的网络威胁。