國內網絡安全公司深藍洞察 (就是之前披露並夕夕利用 Android 漏洞廣泛攻擊用戶的安全廠商) 從昨天開始發布 2023 年的年度報告，其中第一篇文章就是關於 2023 年度 “最野的漏洞”，“獲勝者” 是 libwebp 庫漏洞。

2023 年 9 月 7 日蘋果發布緊急安全更新修複一個類似三角測量的 0click 漏洞，之後穀歌、謀智基金會、微軟等公司都陸續發布安全更新修複該漏洞。

而到 9 月 25 日，國內不少流行軟件包括微信、釘釘、QQ 等雖然都受 libwebp 漏洞影響，但都沒有及時修複，給攻擊者留下可乘之機 (後麵修複了)。

為什麽 libwebp 庫漏洞影響如此大呢？

libwebp 是 WebP 圖像使用的基礎庫，也就是說凡是支持渲染 WebP 的軟件，那基本上都集成了這個庫，因此這個庫發生漏洞後，所有集成該庫的軟件都受影響。

在 2023 年 9 月 22 日該漏洞的相關 PoC 就已經被公布了，黑客哪怕自己沒提前研究出來漏洞利用方法，那根據這個 PoC 也可以搞定。

因此大量黑客都可以利用這個漏洞對數以億計的用戶發起廣泛的攻擊，直到所有用戶使用的軟件均已更新為修複漏洞後的 libwebp 庫。

漏洞是蘋果發現並通報給穀歌的：

WebP 是個開源項目但由穀歌主導，而此次發現漏洞的並不是穀歌安全團隊，而是蘋果產品安全團隊和公民實驗室，蘋果在發現漏洞後立即向穀歌通報並與穀歌協調修複該漏洞。

到 2023 年 12 月 16 日，蘋果發送給穀歌的郵件才被公布，但這讓深藍洞察產生了一些疑問。

有二十年漏洞應急響應經驗的深藍，不禁產生疑問：

” 為何 Apple 僅向 Google 共享如此重要的威脅情報？微軟、華為等其他巨頭呢？

libwebp、Chrome 生態下遊更多的無數軟件無需第一時間知情嗎？

Apple 和 Google 在意自己用戶的安全，卻視其他無數同受影響產品的用戶安全如敝履嗎？”

一直以來我們麵對的，都是在野漏洞被不斷利用，各種網絡攻擊層出不窮的複雜環境。

如此真實背景下，不同國家、組織之間的信息孤島現象依然尚未改觀，這對於應對安全挑戰極為不利。

如何建立負責任、高效的威脅情報共享機製，在當今在野漏洞攻擊橫行的年代，已成為一個必須解決的問題。