关于开源图像编解码库libwebp存在高危漏洞的风险提示

    近期，工业和信息化部网络安全威胁和漏洞信息共享平台监测发现，开源图像编解码库libwebp存在堆缓冲区溢出高危漏洞，影响范围广泛。

    Libwebp是谷歌公司推出的处理WebP格式图像的开源编解码库，广泛应用于浏览器、Linux操作系统、框架、应用程序、容器镜像等。由于libwebp在解析WebP格式图像时缺少必要的数据验证，未授权攻击者可构造包含特定图片的恶意链接，引诱用户点击执行程序并导致堆缓冲区溢出，远程执行任意代码，在某些条件下可实现零点击利用。

    该漏洞影响使用libwebp(<v1.3.2)的网络产品和信息系统，包括：Google Chrome(for Mac/Linux<116.0.5845.187,for Windows<116.0.5845.187/.188)、Mozilla Firefox(<117.0.1)、Microsoft Edge(<109.0.1518.140,116.0.1938.81, 117.0.2045.31)、ubuntu、Debian、Redhat等Linux发行版、Electron框架(<22.3.24, 24.8.3, 25.8.1, 26.2.1, 27.0.0-beta.2)、CEF框架(chromium内核<116.0.5845.188或<117.0.5938.62)等众多产品。目前，谷歌公司及受影响的产品厂商已陆续发布新版本修复该漏洞。

    建议相关单位和用户及时升级存在漏洞隐患的产品版本，采取禁用WebP格式解析、校验文件类型等安全措施，谨慎打开未知来源的图片或网页链接，防范漏洞利用风险。

    感谢奇安信网神信息技术（北京）股份有限公司、三六零数字安全科技集团有限公司参与漏洞研判并提供技术支持。