2023 年 9 月 12 日,谷歌发布公告,1.3.2 之前版本的 libwebp 中存在堆缓冲区溢出漏洞。远程攻击者可以通过特制的 webp 文件导致越界内存写入,从而达到在受害者设备上执行任意命令的目的。9 月 22 日,有安全研究者发布了该漏洞的利用方式及代码,使得漏洞能够被广泛利用。
veImageX 受影响 SDK 如下(SDK 中都集成了 libwebp):
现 veImageX 已紧急将 libwebp 版本升级到 1.3.2,建议已接入上述 SDK 的客户尽快升级以下新版本 SDK,避免线上用户受到攻击。
升级版本号:
注意
veImageX 的 Android 端 BDGlide SDK 中未集成 libwebp,但是如果您自行引用了glide:webpdecoder
,也建议您尽快升级版本。
如果您是单独接入了 veImageX 自研客户端 heif 解码库,并且也自行接入了 libwebp,由于 heic 编码可能存在降级为 webp 情况,也建议您自行升级 libwebp 版本至 1.3.2。
如果您接入的定制版本图片加载 SDK,升级建议请以火山引擎商务人员的通知为准。