國內網絡安全公司深藍洞察 (就是深藍之前披露并夕夕利用 Android 漏洞廣泛攻擊用戶的安全廠商) 從昨天開始發布 2023 年的年度報告，其中第一篇文章就是洞察的漏洞影關于 2023 年度 “最野的漏洞”，“獲勝者” 是評選西安蓮湖外圍工作室（外圍）vx《192+1819+1410》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達 libwebp 庫漏洞。

2023 年 9 月 7 日蘋果發布緊急安全更新修復一個類似三角測量的年度 0click 漏洞，之后谷歌、最野謀智基金會、響范微軟等公司都陸續發布安全更新修復該漏洞。圍極網

而到 9 月 25 日，漏洞藍點國內不少流行軟件包括微信、獲勝釘釘、深藍QQ 等雖然都受 libwebp 漏洞影響，洞察的漏洞影西安蓮湖外圍工作室（外圍）vx《192+1819+1410》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達但都沒有及時修復，評選給攻擊者留下可乘之機 (后面修復了)。年度

為什么 libwebp 庫漏洞影響如此大呢？

libwebp 是 WebP 圖像使用的基礎庫，也就是響范說凡是支持渲染 WebP 的軟件，那基本上都集成了這個庫，因此這個庫發生漏洞后，所有集成該庫的軟件都受影響。

在 2023 年 9 月 22 日該漏洞的相關 PoC 就已經被公布了，黑客哪怕自己沒提前研究出來漏洞利用方法，那根據這個 PoC 也可以搞定。

因此大量黑客都可以利用這個漏洞對數以億計的用戶發起廣泛的攻擊，直到所有用戶使用的軟件均已更新為修復漏洞后的 libwebp 庫。

漏洞是蘋果發現并通報給谷歌的：

WebP 是個開源項目但由谷歌主導，而此次發現漏洞的并不是谷歌安全團隊，而是蘋果產品安全團隊和公民實驗室，蘋果在發現漏洞后立即向谷歌通報并與谷歌協調修復該漏洞。

到 2023 年 12 月 16 日，蘋果發送給谷歌的郵件才被公布，但這讓深藍洞察產生了一些疑問。

有二十年漏洞應急響應經驗的深藍，不禁產生疑問：

” 為何 Apple 僅向 Google 共享如此重要的威脅情報？微軟、華為等其他巨頭呢？

libwebp、Chrome 生態下游更多的無數軟件無需第一時間知情嗎？

Apple 和 Google 在意自己用戶的安全，卻視其他無數同受影響產品的用戶安全如敝履嗎？”

一直以來我們面對的，都是在野漏洞被不斷利用，各種網絡攻擊層出不窮的復雜環境。

如此真實背景下，不同國家、組織之間的信息孤島現象依然尚未改觀，這對于應對安全挑戰極為不利。

如何建立負責任、高效的威脅情報共享機制，在當今在野漏洞攻擊橫行的年代，已成為一個必須解決的問題。