GoogleがChromeの脆弱性としてCVEに報告していたWebPの脆弱性を改めて報告、却下される 7
ストーリー by nagazou
重複 部門より
重複 部門より
headless 曰く、
Google が WebP コーデック (libwebp) のヒープバッファーフロー脆弱性を 9 月 22 日に CVE へ報告したが、CVE-2023-4863 と重複するとして数日後に却下された (CVE-2023-5129)。
この脆弱性は libwebp を使用する多数のアプリに影響するものの、Google は CVE-2023-4863 を Google Chrome における WebP の脆弱性として報告した (Internet Archive のスナップショット)。Google はプラットフォームによって WebP の実装が異なるため、Chromium 以外の製品への脆弱性の影響を判断できないなどと説明したが、他の製品が影響を受けないような印象を与えると批判を受けた。
そのため、CVE-2023-5129 は CVE-2023-4863 と同じ脆弱性を libwebp の脆弱性として報告するもので、詳細な動作の説明が添えられていた (Internet Archive のスナップショット)。しかし、CVE では 2 件を重複するものと判断して CVE-2023-5129 を削除。CVE-2023-4863 側は対象に libwebp を追加するのにとどまり、詳細な説明は参照できなくなっている。
ヒープバッファーフロー (スコア:0)
どう端折るかで語彙が測れますね。
Re: (スコア:0)
ただの編集ミスじゃないかな?
それはともかくとして (スコア:0)
WebPはなんだかんだと言いつつ画質は荒いし未だに画像ビューアが対応していなかったりいろいろクソ。
JPGを保存したつもりなのに勝手にWebPに変換されてるとかもクソ。
Re:それはともかくとして (スコア:1)
拡張子jpg、Content-Type: image/jpeg で中身webpを送ってくるイカレ鯖が増えてるね
Re: (スコア:0)
https://squoosh.app/ [squoosh.app] で便利に活用しています。画像によって Lossless の方が容量削減しやすい場合がありますね。
画質? Quality 調整と用途によって YUV のオプションを。
画像ビューア? 知らん。WebPの問題ではない。
勝手に変換? ますます意味不明。そういうサービスを使っている人の自己責任でWebPの問題ではない。
Re: (スコア:0)
勝手に変換って経験はないけどDLした画像がWebPだったら変換が手間。
古い企画やソフトなどJPEGじゃないとダメな用途がある。
AVIFよりかは画像ビュワーが普通に対応してるのはマシ。
サーバーで帯域節約しつつ画質をマシにできるって存在意義は分かる。