Replying to Avatar Gossip Client

GOSSIP USERS: SECURITY ALERT

There is an UNPATCHED vulnerability in libwebp that allows a malicious image to infect your computer. This affects gossip, as well as countless other programs.

Normally we wouldn't announce an active vulnerability until it is patched and there is a solution, but this news is already widespread.

Please go to your settings and uncheck "Render all media inline automatically". Only click to view media from people you trust.

We are working towards a better understanding of this, and a fix.

Please coorespond with nostr:npub1acg6thl5psv62405rljzkj8spesceyfz2c32udakc2ak0dmvfeyse9p35c as this account is only used for announcements and is not watched.

Related security alerts:

https://nvd.nist.gov/vuln/detail/CVE-2023-4863

More info

https://www.tenable.com/blog/cve-2023-41064-cve-2023-4863-cve-2023-5129-faq-imageio-webp-zero-days

https://arstechnica.com/security/2023/09/incomplete-disclosures-by-apple-and-google-create-huge-blindspot-for-0-day-hunters/

Avatar
n 2y ago

GOSSIPユーザーセキュリティ警告

libwebpに、悪意のあるイメージをコンピュータに感染させる、パッチが適用されていない脆弱性が存在します。通常、私たちはパッチが適用され、解決策が出るまで、アクティブな脆弱性を発表しませんが、このニュースはすでに広まっています。

設定から「すべてのメディアをインラインで自動的にレンダリングする」のチェックを外してください。信頼できる人からのメディアのみをクリックして閲覧してください。

私たちはこの問題をよりよく理解し、解決に向けて取り組んでいます。

このアカウントはアナウンスのみに使用され、監視されていませんので、@Michael Dilgerと連絡を取ってください。

関連するセキュリティアラート

nostr:nevent1qqsydh0dpturk7lxsrrkj8ptwnlmndczla9k9r97f7sqr2tdshuallspzfmhxue69uhk7enxvd5xz6tw9ec82cs0yf38d

Reply to this note

Please Login to reply.

Discussion

Avatar
n 2y ago

最終更新(だと思う):

この件に関するいくつかの記事や文章は間違っており、libwebp 1.3.2を示唆しています。しかしコードを見てみると、libwebpは1.3.2がリリースされる前に修正されていました。もしあなたがlibwebpのバージョン1.3.2を持っているなら、問題ないはずです。libwebpのバージョンが古い場合は、オペレーティング・システムをアップデートしてください。

繰り返しになりますが、「video-ffmpeg」機能を使ってコンパイルしていない場合は、この影響はありません。 繰り返しになりますが、この影響は画像にはなく、動画にのみ及びます。

これはオペレーティングシステムによって管理されるダイナミックリンクライブラリなので、gossipのアップデートリリースはありません。

nostr:nevent1qqsrkxyc6gweg9e9v3gu37tmxx7axyqj0dw0ng7tz8p9n7hc90pj7eqpzamhxue69uhkummnw3ezu6r0d3ukyetp9e3k7mgwd97u8