谷歌计划在 2023-10-06 安全补丁中修复 WebP 编解码器的严重漏洞

谷歌计划在2023-10-06安全补丁中修复WebP编解码器的严重漏洞最近你应该听说的编解码器的严重漏洞（），这个漏洞涉及到WebP图像格式中的堆缓冲区溢出。由于WebP0-day漏洞的严重性以及媒体的关注，Google和OEM制造商正在紧急修复。Google计划在2023-10-06安全补丁级别的Android设备上修复此漏洞。因此，如果你的设备没有接收到更新并且SPL显示为“2023-10-06”的安全补丁，那么，你将需要等待2023-11-01（2023年11月）的SPL更新。——

Google发布Android10月安全公告

Google发布Android10月安全公告2023-10-06securitypatchlevelvulnerability中包含前段时间“威名赫赫”的CVE-2023-4863（Webp堆缓冲区溢出漏洞），它几乎影响所有使用libwebp库的应用/设备。有证据表明该O'Day漏洞已受到利用。使用2023-10-06或更新安全补丁级别的设备必须在此（和以前的）安全公告中包含所有适用的补丁。但受限于设备制造商对于安全补丁的消极态度，大多数Android用户将在相当长时间（甚至永久）内暴露在风险下。来源:投稿：@ZaiHuaBot频道：@TestFlightCN

该漏洞编号为 CVE-2023-21036，已在 3 月安全补丁中修复，理论上更新到最新的 Android 13 QPR2, Q

该漏洞编号为CVE-2023-21036，已在3月安全补丁中修复，理论上更新到最新的Android13QPR2,QPR3Beta1及Android14DP2即可，Pixel4及以前的Pixel用户请寻找第三方ROM或替代工具。原理也很简单，当通过Markup编辑工具编辑时，它并没有真正删除原始截图信息，而是在上方覆盖。当编辑改动不是特别大时，便能因此恢复出原始截图未被覆盖的那部分信息。上传到社交平台的截图通常会经过压缩，其中很多压缩算法会破坏尾部信息，所以尽管存在如此严重的安全漏洞，但就目前而言还不是随便在网上找一张Pixel涂改后的截图就可以还原出原始信息。目前已知截至今年1月17日前的Discord压缩算法不会破坏截图的尾部信息，在此之前有在Discord上传过包含敏感信息，且仅使用Pixel涂改工具调整过的朋友只能自求多福了。链接：https://www.da.vidbuchanan.co.uk/blog/exploiting-acropalypse.html

【Apple发布解决3个新零日漏洞的安全补丁，并提醒用户及时升级】

【Apple发布解决3个新零日漏洞的安全补丁，并提醒用户及时升级】2023年09月22日04点24分9月22日消息，Apple发布了新一轮安全补丁，以解决三个正在被积极利用的零日漏洞，这些漏洞影响了iOS、iPadOS、macOS、watchOS和Safari，使今年在其软件中发现的零日漏洞总数达到16个。安全漏洞列表如下：CVE-2023-41991，Security框架中的一个证书验证问题，可能允许恶意应用程序绕过签名验证。CVE-2023-41992，Kernel中的一个安全漏洞，可能允许本地攻击者提升权限。CVE-2023-41993，WebKit中的一个漏洞，在处理特制Web内容时可能导致任意代码执行。苹果没有提供更多细节，只是确认了“该问题可能在iOS16.7之前的版本中被积极利用。提醒用户及时升级”。

谷歌推迟了 Android 14 的发布，可能会与 Pixel 8 一起发布。

谷歌推迟了Android14的发布，可能会与Pixel8一起发布。谷歌原计划于2023年9月5日发布Android14源代码，但看起来计划有所变化，据称，OEM厂商被谷歌告知延迟了发布，这个决定似乎做出得太晚了。OEM厂商被告知Android14安全补丁清单中详细列出的漏洞将于2023年10月4日发布，这可能成为新的系统发布日期。这个日期与MadebyGoogle事件日期相符，预计在那里将推出Pixel8和PixelWatch2。这将是AOSP发布首次被推迟以与新Pixel设备发布同时进行。——