headless 曰く、
Google が WebP コーデック (libwebp) のヒープバッファーフロー脆弱性を 9 月 22 日に CVE へ報告したが、CVE-2023-4863 と重複するとして数日後に却下された
(CVE-2023-5129)。この脆弱性は libwebp を使用する多数のアプリに影響するものの、Google は CVE-2023-4863 を Google Chrome における WebP の脆弱性として報告した (Internet Archive のスナップショット)。Google はプラットフォームによって WebP の実装が異なるため、Chromium 以外の製品への脆弱性の影響を判断できないなどと説明したが、他の製品が影響を受けないような印象を与えると批判を受けた。
そのため、CVE-2023-5129 は CVE-2023-4863 と同じ脆弱性を libwebp の脆弱性として報告するもので、詳細な動作の説明が添えられていた (Internet Archive のスナップショット)。しかし、CVE では 2 件を重複するものと判断して CVE-2023-5129 を削除。CVE-2023-4863 側は対象に libwebp を追加するのにとどまり、詳細な説明は参照できなくなっている。
| Chrome
| セキュリティ
| グラフィック
| バグ
| Chromium
|
関連ストーリー:
画像のウォーターマークをAIの力で消すWatermark Remover
2023年02月01日
JPEG XL、Google Chromeでの対応は当分先送りか
2022年11月02日
SeaMonkey 2.53.5がリリース。WebPとAV1をサポートなどの機能追加
2020年11月20日
画像フォーマット「WebP」のリファレンス実装「libwebp、バージョン1になる
2018年05月07日
Source: スラッシュドット