Google が WebP コーデック (libwebp) のヒープバッファーフロー脆弱性を 9 月 22 日に CVE へ報告したが、CVE-2023-4863 と重複するとして数日後に却下された (CVE-2023-5129)。

この脆弱性は libwebp を使用する多数のアプリに影響するものの、Google は CVE-2023-4863 を Google Chrome における WebP の脆弱性として報告した (Internet Archive のスナップショット)。Google はプラットフォームによって WebP の実装が異なるため、Chromium 以外の製品への脆弱性の影響を判断できないなどと説明したが、他の製品が影響を受けないような印象を与えると批判を受けた。

そのため、CVE-2023-5129 は CVE-2023-4863 と同じ脆弱性を libwebp の脆弱性として報告するもので、詳細な動作の説明が添えられていた (Internet Archive のスナップショット)。しかし、CVE では 2 件を重複するものと判断して CVE-2023-5129 を削除。CVE-2023-4863 側は対象に libwebp を追加するのにとどまり、詳細な説明は参照できなくなっている。

すべて読む | セキュリティセクション | Chrome | セキュリティ | グラフィック | バグ | Chromium |

関連ストーリー：
画像のウォーターマークをAIの力で消すWatermark Remover 2023年02月01日
JPEG XL、Google Chromeでの対応は当分先送りか 2022年11月02日
SeaMonkey 2.53.5がリリース。WebPとAV1をサポートなどの機能追加 2020年11月20日
画像フォーマット「WebP」のリファレンス実装「libwebp、バージョン1になる 2018年05月07日