Electron 惊现十级漏洞，到底谁的锅？

Electron 惊现十级漏洞，到底谁的锅？

最近开源软件又爆出一个十级漏洞，该漏洞冲击范围巨大，涉及数百万不同的应用程序，其中也包括 iOS、Android 应用程序以及使用 Electron 构建的跨平台应用程序。

这个漏洞两周前就已经被苹果和谷歌发现，但苹果和谷歌在披露漏洞时缺乏关键信息，造成了“巨大的盲点”，导致全球范围内其他开发者提供的大量应用程序未能得到修补，这些应用程序可能一直处于攻击危险之中。

为什么会产生“巨大的盲点”

两周前，苹果报告称，威胁行为者正在积极利用 iOS 中的一个关键漏洞（编号为 CVE-2023-41064），以便安装世界上已知的最先进的恶意软件之一“飞马”（Pegasus）间谍软件。这些攻击使用了零点击的漏洞利用方法，也就是说攻击者不需要与目标进行任何交互，只要接收到 iPhone 上的来电或短信，就足以被“飞马”感染。

四天后，谷歌报告称， Chrome 浏览器中存在一个关键漏洞。谷歌表示，该漏洞被指定为 CVE-2023-4863，由苹果安全工程和架构团队以及公民实验室报告。披露中列出的受影响供应商为“谷歌”，受影响软件则为“Chrome”，而且该漏洞已经出现在野利用。谷歌和 Mozilla 马上紧急修复了各自浏览器（分别是 Chrome 和 Firefox）中的漏洞。

实际上，从谷歌的信息中，可以看出该漏洞源自谷歌于 2010 年开发的 libwebp 代码库，用于以 Webp 格式渲染图像。Webp 是当时的一种新兴格式，能