予定外の期日にWebブラヴのUpdateが続いた。
昨日09/12はChrome、本日09/13はEdgeと来たのでChromium系の不具合なのかと思っていたが、Firefoxでも来たのでなんじゃらほいである。
理由は「WebP画像を処理するライブラリ「libwebp」におけるヒープバッファーオーバーフローの脆弱(CVE-2023-4863)」が修正されたとのこと。
メール・アプリのThunderbirdまでも、「libwebp」ライブラリを使っているとのことでUpdateが来た。今日のWindows定期更新では、既にサポート切れのMicrosoft Office製品にもUpdateが提供されたと聞くが、同じ原因なのだろう。ということは、これ以外にも「WebP」絡みで「libwebp」ライブラリを使っているアプリのUpdateが続くと覚悟した方が良い..ということだろう。ちなみに、ChromeとFirefoxではAndroidのスマホとタブレットにも来た。また、Windows付録の「メール」アプリも更新されている。
「WebP」なんて使っていないが..面倒なこっちゃ。その点、Web版アプリはUpdateの必要が無いから、楽じゃ。
「
WebP」(ウェッピー)とは、米Googleが開発しているオープン標準の静止画像フォーマット。ファイルの拡張子は「.webp」。
過去記事:
WebP形式.学 /
WebブラウザがUpdate /
WebP関連の脆弱性バッファオーバーフロー - Wikipedia
Chrome、Firefox、Brave、Edgeが相次いでパッチを提供し、WebPの重大なセキュリティ問題を修正 | ソフトアンテナ(23/09/14)
Google、Mozilla、Microsoft、Braveがそれぞれ重要なセキュリティパッチを公開し、ブラウザの深刻なセキュリティ問題を修正した事がわかりました(The Verge)。 脆弱性は広く使用されているWebP画像のレンダリングに使用されているコードに関連したもので、コンピューターへの不正アクセスや、悪意のあるコードの実行に使用される可能性があります。各社は脆弱性が野放し状態で活発に悪用されている事を認めているそうです。
Electronベースのアプリもこの問題の影響を受け、暗号化メッセージアプリのSignalはパッチを提供しています。Affinity、Gimp、LibreOffice、Telegram、多数のAndroidアプリケーション、「Flutterで構築されたクロスプラットフォームアプリ」など、WebPを扱う可能性がある他のアプリも同様に影響を受ける模様。
同件に絡むと独善的に推察する、俺が利用中アプリのUpdate状況
Tor Browser v12.5.4 (23/09/14)⇒v12.5.6(23/10/02)
LibreOffice
v7.6.2.1(23/09/27)
paint.net
v5.0.10 beta (build 8664)⇒v5.0.10(23/10/02)
G'MIC Effect
v3.3.0 (23/09/04)
FotoSketcher(64bit版)
Webp対応のLightbox.学 Webp形式の画像に対応したLightboxプラグインの「Easy FancyBox」
WebP形式.学Microsoftストア版(標準搭載)
3Dビューアー (3D Viewer)
Webp 画像拡張機能(23/10/02)
Microsoft フォト v2023.11090.12017.0(23/09/19)
ペイント
ペイント 3D
メモ帳
Outlook for Windows ⇒ Outlook(New) v1.2023.920.900(23/09/25)
Microsoftストア版(俺が入れた)
PhotoScape X
俺は利用していないが、らしき物のメモ
Opera One v102.0.4880.46 (23/09/12)
WebPのゼロデイ脆弱性は「Teams」や「Skype」にも ~Microsoftが影響製品を公表/すでに修正版が公開中 - 窓の杜(23/10/03)
米Microsoftは10月2日(現地時間)、「CVE-2023-4863」および「CVE-2023-5217」の影響を受ける自社製品を明らかにした。
事業開始のお知らせ | FCNT株式会社(2023年09月29日)
