國內(nèi)網(wǎng)絡(luò)安全公司深藍(lán)洞察 (就是深藍(lán)之前披露并夕夕利用 Android 漏洞廣泛攻擊用戶的安全廠商) 從昨天開始發(fā)布 2023 年的年度報告，其中第一篇文章就是洞察的漏洞影關(guān)于 2023 年度 “最野的漏洞”，“獲勝者” 是評選上海外圍（上海外圍女）（電話微信189-4469-7302）一二線城市外圍預(yù)約、空姐、模特、留學(xué)生、熟女、白領(lǐng)、老師、優(yōu)質(zhì)資源 libwebp 庫漏洞。

2023 年 9 月 7 日蘋果發(fā)布緊急安全更新修復(fù)一個類似三角測量的年度 0click 漏洞，之后谷歌、最野謀智基金會、響范微軟等公司都陸續(xù)發(fā)布安全更新修復(fù)該漏洞。圍極網(wǎng)

而到 9 月 25 日，漏洞藍(lán)點國內(nèi)不少流行軟件包括微信、獲勝釘釘、深藍(lán)QQ 等雖然都受 libwebp 漏洞影響，洞察的漏洞影上海外圍（上海外圍女）（電話微信189-4469-7302）一二線城市外圍預(yù)約、空姐、模特、留學(xué)生、熟女、白領(lǐng)、老師、優(yōu)質(zhì)資源但都沒有及時修復(fù)，評選給攻擊者留下可乘之機 (后面修復(fù)了)。年度

為什么 libwebp 庫漏洞影響如此大呢？

libwebp 是 WebP 圖像使用的基礎(chǔ)庫，也就是響范說凡是支持渲染 WebP 的軟件，那基本上都集成了這個庫，因此這個庫發(fā)生漏洞后，所有集成該庫的軟件都受影響。

在 2023 年 9 月 22 日該漏洞的相關(guān) PoC 就已經(jīng)被公布了，黑客哪怕自己沒提前研究出來漏洞利用方法，那根據(jù)這個 PoC 也可以搞定。

因此大量黑客都可以利用這個漏洞對數(shù)以億計的用戶發(fā)起廣泛的攻擊，直到所有用戶使用的軟件均已更新為修復(fù)漏洞后的 libwebp 庫。

漏洞是蘋果發(fā)現(xiàn)并通報給谷歌的：

WebP 是個開源項目但由谷歌主導(dǎo)，而此次發(fā)現(xiàn)漏洞的并不是谷歌安全團(tuán)隊，而是蘋果產(chǎn)品安全團(tuán)隊和公民實驗室，蘋果在發(fā)現(xiàn)漏洞后立即向谷歌通報并與谷歌協(xié)調(diào)修復(fù)該漏洞。

到 2023 年 12 月 16 日，蘋果發(fā)送給谷歌的郵件才被公布，但這讓深藍(lán)洞察產(chǎn)生了一些疑問。

有二十年漏洞應(yīng)急響應(yīng)經(jīng)驗的深藍(lán)，不禁產(chǎn)生疑問：

” 為何 Apple 僅向 Google 共享如此重要的威脅情報？微軟、華為等其他巨頭呢？

libwebp、Chrome 生態(tài)下游更多的無數(shù)軟件無需第一時間知情嗎？

Apple 和 Google 在意自己用戶的安全，卻視其他無數(shù)同受影響產(chǎn)品的用戶安全如敝履嗎？”

一直以來我們面對的，都是在野漏洞被不斷利用，各種網(wǎng)絡(luò)攻擊層出不窮的復(fù)雜環(huán)境。

如此真實背景下，不同國家、組織之間的信息孤島現(xiàn)象依然尚未改觀，這對于應(yīng)對安全挑戰(zhàn)極為不利。

如何建立負(fù)責(zé)任、高效的威脅情報共享機制，在當(dāng)今在野漏洞攻擊橫行的年代，已成為一個必須解決的問題。