一、概要

近日，基地政务云安全运维团队关注到Google官方发布安全公告，披露Libwebp < 1.3.2版本中存在一处堆缓冲区溢出漏洞（CVE-2023-5129）。由于Libwebp用于无损压缩的哈夫曼编码算法存在缺陷，未经身份验证的远程攻击者通过构造恶意的Webp文件触发越界内存写入，成功利用漏洞可实现远程代码执行。目前漏洞POC已公开，已发现在野攻击利用，风险高。

Libwebp是一款开源的用于编码和解码WebP图像格式的组件库，应用比较广泛。华为云提醒使用Libwebp的用户及时安排自检并做好安全加固。

参考链接：

https://nvd.nist.gov/vuln/detail/CVE-2023-5129

https://github.com/advisories/GHSA-hhrh-69hc-fgg7

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、 影响范围

影响版本：

Libwebp < 1.3.2

所有用到Libwebp组件的应用（包括不局限于各主流浏览器、Linux操作系统、图/影像处理软件、Android应用、Electron/ Flutter跨平台框架等）

安全版本：

Libwebp ＞=1.3.2

四、安全建议

目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本：

https://github.com/webmproject/libwebp/tags

注：修复漏洞前请将资料和数据进行备份，并与客户应用供应商和维护方确认并进行充分测试。