パスワードを忘れた? アカウント作成
17397946 story
バグ

GoogleがChromeの脆弱性としてCVEに報告していたWebPの脆弱性を改めて報告、却下される 7

ストーリー by nagazou
重複 部門より
headless 曰く、

Google が WebP コーデック (libwebp) のヒープバッファーフロー脆弱性を 9 月 22 日に CVE へ報告したが、CVE-2023-4863 と重複するとして数日後に却下された (CVE-2023-5129)。

この脆弱性は libwebp を使用する多数のアプリに影響するものの、Google は CVE-2023-4863 を Google Chrome における WebP の脆弱性として報告した (Internet Archive のスナップショット)。Google はプラットフォームによって WebP の実装が異なるため、Chromium 以外の製品への脆弱性の影響を判断できないなどと説明したが、他の製品が影響を受けないような印象を与えると批判を受けた

そのため、CVE-2023-5129 は CVE-2023-4863 と同じ脆弱性を libwebp の脆弱性として報告するもので、詳細な動作の説明が添えられていた (Internet Archive のスナップショット)。しかし、CVE では 2 件を重複するものと判断して CVE-2023-5129 を削除。CVE-2023-4863 側は対象に libwebp を追加するのにとどまり、詳細な説明は参照できなくなっている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年10月02日 20時12分 (#4539042)

    どう端折るかで語彙が測れますね。

  • by Anonymous Coward on 2023年10月02日 21時45分 (#4539070)

    WebPはなんだかんだと言いつつ画質は荒いし未だに画像ビューアが対応していなかったりいろいろクソ。
    JPGを保存したつもりなのに勝手にWebPに変換されてるとかもクソ。

    • by Anonymous Coward on 2023年10月03日 5時11分 (#4539153)

      拡張子jpg、Content-Type: image/jpeg で中身webpを送ってくるイカレ鯖が増えてるね

      親コメント
    • by Anonymous Coward

      https://squoosh.app/ [squoosh.app] で便利に活用しています。画像によって Lossless の方が容量削減しやすい場合がありますね。

      画質? Quality 調整と用途によって YUV のオプションを。
      画像ビューア? 知らん。WebPの問題ではない。
      勝手に変換? ますます意味不明。そういうサービスを使っている人の自己責任でWebPの問題ではない。

    • by Anonymous Coward

      勝手に変換って経験はないけどDLした画像がWebPだったら変換が手間。
      古い企画やソフトなどJPEGじゃないとダメな用途がある。
      AVIFよりかは画像ビュワーが普通に対応してるのはマシ。
      サーバーで帯域節約しつつ画質をマシにできるって存在意義は分かる。

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...