webp 图片格式漏洞，目前评级为最高危

重点是漏洞怎么利用，
看起来好像太底层了一点，应该只有苹果这种高度统一的设备上容易利用这个漏洞， 所以这次漏洞也是苹果发现的，
估计换成安卓的话不同厂商，不同型号，不同版本，都不通用，

@AoEiuV020JP 文章提到了安卓

"The bad news is that Android is still likely affected. Similar to Apple's ImageIO, Android has a facility called the BitmapFactory that handles image decoding"

理论上只要 V2EX 有人发一张精心构造后的 webp 图片，你用浏览器看一下，就中招了。

@tool2d #2 是这样子，但中招归中招，这个“中招”具体的效果，我估计是不好控制的， 不同手机效果不一样就不好真正用来攻击，

我不信，你给我复现一下

不好意思，你升任你升，我只支持 jpg ，png ，gif

目前没搜到 POC ，不知道能不能 RCE

@jinliming2 可以 rce ，但这种内存类的不能通杀

没关系，我用鸿蒙就好了

@huijiewei 鸿蒙大概率也受影响

只是 poc,能 crash 一下,没必要这么慌;
另外, 最开始这玩意是 NSO 的武器库里的 exploit 吧, 普通人不配被这种 exploit 打, 普通人的身价配不上这种 exploit :) 安心躺吧

昨天看了，Ubuntu 20.04 的 libwebp 包在 9 月 16 日就修了，更新一下系统即可

有的应用用动态链接库，有的静态链接库，不知道具体实现方式的话系统和应用全都得升吧

https://www.v2ex.com/t/822664
同一家公司搞出来的。

@tool2d 浏览器已更新。狗头

我角色图片基本用 jpg ，视频还在用 h264 ，所以正常放假…………