温馨提示本文为保姆级教程，包含词典包安装，词典介绍等模块。本文内容十分详细，下到如何解压缩这类问题均有相关图片介绍。老手阅读本文会觉得啰嗦，故请按照目录跳转到自己想要的部分进行细致的阅读，不建议通读全文。1. 欧路词典是什么欧陆词典是一款支持多设备(Android, iOS, Windows, mac)的词典软件，可以『自定义导入mdd/mdx格式词典』以及满足『多设备同步』。但自定义这把双刃剑的缺点很明显，不会用的人浮于欧路词典的表面而不明白其高评价的原因。会用的人如鱼得水，并且纷纷对其thumbs up。大多数人并没有认识到第一个优秀的特性，以至于认为欧陆词典仅仅『在界面上』和『无广告』上比大多数国产词典要优秀。下面用两张图来给大家一种直观的认识。上面一张图还不够，因为只体现了其冰山一角，下面是另外的词典。如此可见，在未安装任何第三方词典的情况下，自带词典和第三方词典相比体验完全不能比。同样一个单词查询『abandon』，自带词典只简单提供了中文释义，而我们自定义导入的词典提供了海量的信息供我们查询，包含但不限于：例句，搭配，同义词辨析，语料库，单词随着几个世纪过去后使用频率的趋势……诚然，作为一个对自己有要求的英语学习者，应该学会主动查阅权威词典和阅读英英解释。欧陆词典本身只作为第三方词典的载体，导入了各种自定义第三方词典后才使其变得十分强大。2. 安装方法本帖包含的词典资源在精选评论中！本帖包含的词典资源在精选评论中！本帖包含的词典资源在精选评论中！安装方法其实非常简单，把词典资源解压出来放在欧路词典的目录下面就可以了，如果你明白这句话的意思，直接跳到3即可，不需要看下面的安装教程。但考虑到很多人可能不具备计算机操作的基础知识，我还是打算写出完整的流程。如果你不会安装，跟着下面的操作来，最终都能成功。2.1 Android安装词典的方法打开词典链接并输入提取码，然后：选择保存到网盘，后面这个领红包别理他。提示打开百度网盘客户端，如果没有下载的话最好现在去下一个百度网盘的客户端：调出百度网盘客户端后，保存到自己的百度网盘，注意词典被保存到了在“我的资源”目录下：然后点开“百度网盘”软件，选择下方的“文件”。找到“我的资源”。我们找到我们刚保存的词典资源，并选中它，然后下载。下载速度很慢，属于正常现象。我们现在就要等它下载好。但与此同时我们需要做一些下载完后的准备工作。打开浏览器，搜索“酷安”（注：此处仅为了更方便地下载解压软件，没有恰饭）。选择立即下载，并安装：进入酷安，搜索"rar"。下载安装。然后等待词典下载完成。当以上几步都完成后，我们打开rar。我们在根目录中找到百度网盘的默认下载地址：“BaiduNetdisk”。点进去，点进我的资源。根据步骤选择解压：选择确定。等待解压成功。然后你就会发现词典资源包下面多了一个文件夹。里面包含这些文件夹：退回一步，我们长按Dictionary文件夹，选择剪切。然后选择上一级，回到我们梦开始的地方。找到“eudb_en”文件夹，点进去。然后选择右上角的粘贴按钮，大功告成。现在我们安装结束了，回欧路词典检查一下，选择右下角的账号。点击“词典库管理”如果这个界面出现了这些词典信息，那就说明安装成功。来查个词试一下显示如上那就是安装成功了。然后上面安装好了的酷安和rar，不需要的话可以卸载。2.2 iOS安装词典的方法方法一：使用itunes操作(推荐）这种方法必须要有：一台电脑一条数据线首先先在电脑上下载好词典资源：右键它，解压。（如果你没有下图选项可以先去安装一个bandizip）然后我们得到了一个文件夹，我们发现电脑上解压比手机方便许多。点进去，就是我们的词典文件。然后要下载一个itunes，长这样，下载步骤省略。将数据线连接至iPhone或者iPad，并确认已提示配对后，打开itunes。然后一定要记得，在主界面->账号->词典库管理手动刷新一下，再查词。iPhone：显示如下就没问题了：查词检验：iPad:若显示为下图，则说明安装成功。查词检验：方法二：打开欧路词典自带的Wifi文件传输 (不推荐)很多人传文件不完整导致词典显示出错的原因都是采用了这种方法，所以我不推荐使用这种方法。确保ipad和电脑处在同一wifi下。解压所有的文件后按照指导直接把文件传输即可。2.3 Windows安装词典的方法首先先在电脑上下载好词典资源：右键它，解压。（如果你没有下图选项可以先去安装一个bandizip）然后我们得到了一个文件夹。点进去，就是我们的词典文件。安装好欧陆词典软件后，点击这个『设置』选择文件夹一路点yes，完事。照样，查个词检验一下关于其他设置，这里就提两个。①快捷键页面，设置Ctrl+O呼出词典主界面，原因为O字母和欧陆对应。②鼠标悬停取词，0秒，按Alt。注：如果不购买专业版的话，只能显示两本词典是正常现象。打磨到此结束。3. 我应该使用哪一本词典？其实mdd词典资源数量在很早的时候就非常多了。大部分人应该在中学时代用的都是牛津高阶，对其有特殊的情怀，可能就对其他品牌的词典没有什么概念。但是无论你有没有已经确定想用的词典，我还是希望你看完下面的内容，然后选出一本你认为最适合你的词典。首先，下面这个链接已经囊括出了最主流的几款词典：不过，相信不了解词典的朋友们，看到这些早已眼花缭乱。下面由我这个深度使用欧陆词典三年多的菜鸟，介绍几款由我从数十款词典中选出的，无论是排版上还是内容上都能称得上精品的词典。3.1 ESL词典什么是ESL词典？全拼为English as a Second Language即面向英语非母语者的用户的词典。这类词典的英英解释中用词相对简单，是最适合以英语为外语的学习者的学习词典。这类词典一般都为中英双解，但在我提供的资源中，中文为默认隐藏，所以可将其视为简单版的英英词典。3.1.1 Collins/柯林斯词典（新手入门）如果你以前查词典只为了看个中文，从来没看过什么英英解释，我推荐你先从这个词典开始。柯林斯在解释动词和形容词时多会使用条件句+主句的方式提供一个具体的情景。例子:我们翻译一下一些词提供的解释：如果你inspect某些东西，你实际上就是在非常仔细地看这个东西的每一处，为了能够确定它是完好的，没有出故障的。（中文翻译为：仔细检查）如果某件东西数量，价值，等级或者体积soar了，那么就意味它增加的数量非常巨大，并且很快。（中文翻译为：急速上升）如果你将一个或一些信条称为dogma，那么你其实就是不赞同它的存在，因为人们都被预想地去接受它就是对的，连质疑都没有。（中文翻译为：教条主义）如果你在一个物体上inscribe了一些字，那么你就是在那个物体上写或者刻了一些字。（中文翻译为：雕刻，印刻）初期要习惯英英解释，并快速搭上全英解释的高速路，柯林斯为不二之选。初期使用柯林斯我认为只需要阅读英英解释，例句甚至都可以无视，目的是最快适应英英解释的模式。但也有不足，柯林斯的例句音频是机器发声，没有真人发音，这点也算是一个遗憾吧。而且柯林斯在用法上的全面程度并不及朗文，你搜一个短语可能都搜不到，或者很难精准定位。不过瑕不掩瑜，它仍然是最友好的英英词典。新手请使用三个月及以上的柯林斯，再研究使用其他词典。3.1.2 Longman/朗文词典 （长期使用）如果你英语水平比较高（六级左右），或者已经使用了三个月的柯林斯，那么你可以了解一下朗文词典（ LDOCE5++ En-Cn V1.35）了。朗文是一款杂糅的词典，出自英国，但无论是英国还是美国的用法均有收录，表达收录非常全面。朗文最大的亮点之一是朗文提供的例句都有真人原声发音（英音），而且也不是生搬硬套的没有感情的发音，例句均为真实场景下真实的英式表达。相对于其他词典引用自带系统模拟发音来说，强大且良心不少。相对于柯林斯来说，朗文更大而全。首先先介绍一下THESAURUS（同义词辨析）部分，不过这个仅存在于部分简单单词中。这个部分有什么用呢？考虑以下的场景：当你感觉到冷的时候，作为一个英语非母语的人，你首先会想到的表达，可能是cold这个词。但有时候的冷，并不是一个cold就可以解决的。你可以是感觉到凉爽，或者生病时的虚寒体冷，再或者就是北极的那种冷但是，这些“冷”真的统统都能由cold解决吗？你可以说，在前面堆几个very就可以了啊。有点冷就very cold, 非常冷就very very cold...我们查一下cold这个词，我们会发现，我们想表达的几个含义，词典都已经给我们做好了辨析：事实上，我们正可以通过这部分来避免用词上的无力和不精准。你可以通过这部分学习到cold 很冷，而且你觉得不舒服，再引申就是你想加件衣服。cool 是很凉，你很舒服的凉，你觉得很凉爽freezing 非常冷，就像把你光着衣服丢到北极一样。大部分用于夸张，约等于very cold，或者extremely cold等。shivery 冷，通常发生在你生病了止不住颤抖。下次如果你想和别人表达你很冷，而且远超过了你认为cold可以表达的范畴，你可以用freezing代替。同理，tired，累这个单词。假设一个情景，你一天走10000步，你感觉累，你想用tired来表达你的累。那如果让你一天走50000步，那就不是最简单的tired可以解决的了，你需要：很明显在这种情况下exhausted相对tired更为贴切准确。然后就是丰富的短语，剩下的可以自行探索真要说朗文哪里有不满意的地方的话第一就是查短语有点点麻烦，但可以通过『解释内查询』解决（详情请见设置），词典本身太大而全。第二就是例句是英音的，作为一个美音爱好者我不太感冒。朗文是综合来看最全面的ESL词典，也是我心目中最完美的词典。这本词典将会陪伴你相当长一段时间，好好享受它带给你的便利。（我至今使用约3年半，中途没有更换过）总结：上述两本词典均为ESL词典。我们不应该惧怕这类ESL词典的英英解释，别人做出ESL词典就是为了照顾我们这些学英语的外语学习者，而不是面向母语专家。ESL词典中英英解释中的词均为常见2500词排列组合而成，英英解释几乎不会出现超难词或者十分影响你理解的词。阅读英英解释的最好理由就是防止中文解释带来的信息失真，虽然ESL词典并不能做到完全消除失真，但是可以很大程度上减免。唯一需要的就是耐心，你需要慢慢地阅读，你会发现英英解释难度甚至比你高中做过的卷子都低多了。当然，如果你在读一些文献，在查的时候你需要马上知道这个词对应的意思，那么你点一下上述两本词典的英英解释（点击一下红框），就可以跳出中文释义（建议尽量不使用）。然后中文释义就出来了，下面的例句也是同理。3.1.3 如何查询短语比如我想查“at any rate”这个短语的意思，但是词典查询好像并不方便。我们可以先查这里面相对“最独特”的词，在这里就是这个rate。点击右下角的三个点：选择“解释内搜索”：搜索框内搜索这个短语，我们就自动定位到了这个解释：3.2 母语词典（OELD)（有备无患）到了后期，基本就是朗文和http://vocabulary.com是用作主力来使用柯林斯的话我目前是朗文查不到的词则会去看看柯林斯。但其实，ESL词典为了保证它对外语学习者的通俗性，付出了许多代价。我们需要一本母语词典作为备用。母语词典，即为为母语人士准备的词典。 这类词典有着收词量大，表达全，包含具体某个专业领域的内容，解释更复杂等特点。很多时候，ESL词典中根本就查不到我们想要的词。比如大名鼎鼎的词汇量测试网站 testyourvocab.com查最后三个词，当然这个顺序是由词频高低来排列的。like最高，uxoricide最低。既然这么说，那么我们就可以故意只查最后几个词来看看这几本词典的收词量怎么样，是否覆盖了词频这么低的单词。我们查询uxoricide。会发现朗文和柯林斯已经双双阵亡。只剩下最后一本母语词典，OELD仍然存活。有时候，ESL词典甚至查不到我们想找的常见词的某个具体表达。再说一个我曾经遇到过的真实情况。读乔布斯传时，我苦于一个短语 jack的意思Most hackers and hobbyists liked to customize, modify, and jack various things into their computers. 遂去朗文查询四个意思带入进去好像都有问题。后来查了柯林斯结果更加惨烈…仍然不是我想要的结果。OELD查询结果:我们能体会到OELD提供的解释更加复杂（相对于朗文）而且很明显我们原句所需要的jack是动词词性的往下翻，便有了把这个释义代入原文，总算是通了。“连接（log into or connect up）各种各样的东西到他们的电脑中”their computers符合解释中“A Computer or electronic device”的目标对象。所以，这也就是Non-ESL词典对于我们的意义，当ESL词典不能满足我们需求时，我们还有最后一本词典作为我们坚实的后盾。母语词典虽好，但我个人建议如果你不是英语专业、托雅高分选手或者GRE人士，暂时请不要将母语词典当作你的主力，你的主力是朗文和下文特定用途的词典，这几本词典将会贯穿你英语学习的始终。而母语词典是ESL词典歇菜时的下策。3.3 其他词典我敢肯定上面三本词典已经能够解决你大部分需求了，事实也是如此，我平时使用中，基本查完朗文就已经结束了，只有某些特定的需求无法被满足时，才会参阅其他的词典。如果以上三本词典都不能解决，那么可以求助以下的几本其他词典，或者直接求助搜索引擎。以下为选读。3.3.1 Vocabulary.com这个本来是一个在线查询的网站，掌上百科的技术大佬们爬取了它的数据并将其制作为了离线版。我们上面介绍了三本词典，但词典始终是词典，词典的身份就意味着它注定要严谨，是严肃的出版物，有时候读起来会无聊，会没有人情味。比如：这个单词，三个意思其实都跟一个意思差不多：以某点为中心来做一些操作。但我们为了掌握这个本质的意思，真的需要将这些意思都阅读一遍吗？或者说，我不想自学了，现在能不能找个人来以讲故事这种形式，教我这个单词是什么意思呢？我们来看一看pivot在http://vocabulary.com中的表现。即使不怎么打篮球，但没吃过猪肉总见过猪跑啊，总见过别人抱球蹲防原地180度自转来自转去保护球的样子吧？读完后是不是就在脑子里留下大致印象了？然后引申开来……想到了门上的那个hinge，90度转，可能是开门，可能是关门……pivot的意思不就这么一回事嘛！你回头看一下朗文所罗列的前两个意思，是不是都差不多？第三个意思，是不是就是引申义，一目了然？再来看前面所提到的，inspect。它在解释inspect这个词的时候，通过“你买了一辆二手车”来将你带入一个生活化的情景来更好地理解词汇。有时它给出的情景也会不禁让人一笑，超级英雄打败坏蛋都是single-handedly的吧？3.3.2 Oxford Collocation Dictionary上述词典足以支撑日常使用，如果我感觉到它们不能满足我的需求了，我会追加一些我需要的词典比如这本牛津搭配词典。前面几本词典，固然大而全，但是我发现写作的时候，找一些动词的副词搭配，找一些名词的形容词搭配却显得捉襟见肘。比如表达增长具有increase，increment，rise，grow up，soar等词，但它们基本绑定了它们的语境，一般情况下不可随意替换使用，那么你就需要查阅搭配词典来确定它的主语或者宾语，副词必须是哪些：4. 常见问题合集Q1：为什么我的排版那么乱？为什么你图中是全英而我的却自动显示出了中文解释？这是最常见的问题，问题在于你只将压缩包内的mdd/mdx文件导入进了词典，而忽略的其他文件。请将压缩包内所有文件全部都导入，一个不剩。Q2：为什么压缩包损坏？解压密码是多少？我没有设置任何解压密码，可能是不同软件的缘故。请尽可能不要开百度云会员使用百度云会员的解压。如果自己不具备基础的计算机知识，请务必按照本文的安装方法流程安装，保证步骤不重不漏。Q3：FF大已删除帖子，如此放出资源是否不妥？在掌上百科(pdawiki)呆过的朋友知道，本贴中的朗文，柯林斯，以及OELD全部出于这位FF大神之手，而当时掌上百科里FF大神与论坛发生了些不愉快的事情，并把所有帖子设置成不可访问。我也只是个常年潜水党，偶尔看看有没有比较好的词典资源。 但我偶然在酷安某用户那得知，FF大神私下里希望这些资源得到传播，所以我才在此放出。当然，如果FF大神或者其好友要求我立即停止分享资源，我也会立即执行。Q4：文中的词典哪些是全英的？默认情况下，你安装没问题的情况下，全都是全英的，朗文和柯林斯因为其ESL词典的特性本身是双解的，但默认情况下是隐藏中文解释的，尽管你可以通过点击英英解释显示中文解释Q5：词典的发音问题？为什么例句不能发音？朗文需要保证导入mdd文件才能有例句原声发音。柯林斯无论导不导入mdd文件都是调用系统自带的TTS机器发音。建议不要使用柯林斯词典的发音单词功能和句子发音，用朗文。Q6：我在安卓上安装好了，为什么电脑上不显示？本文提供的是离线资源，欧路词典并不提供相关云服务将你的词典上传至服务器，所以你需要在你使用的每个平台上各导入一次。Q7：如何默认显示中文？有些朋友不想在朗文双解和柯林斯双解词典中再点击一次显示中文，想进入后默认显示全部中文。以下是网友提供的方法，请自测。Q8:
Windows上安装词库显示“该版本不支持扩展词库”原因是windows免费版欧路词典只能支持两本免费自定义词典，如果想同时支持多本词典需购买正版。5. 后记建议读者们配置好了词典后就马上投入使用，如果你没有相关经验或者其他明确的需求的话，我建议是本文中提到的五本词典就已经完全够用了。其实本来是四本，后来额外加了一本搭配词典，也是因为我有这方面的需求，所以才去额外找了这本牛津搭配词典，而不是一股脑地添加一大堆词典但却只看其中地一部分我接触过不少人摆弄词典美化，最后却忘记了配置词典的初衷。5本词典已经可以解决你的大多数需求，尤其是朗文，我有时甚至开始反感，它实在是太全了。不要过度沉迷于词典的美化，这些词典已经足够优秀。不要仓鼠心态，够用就好，如果没有需求，不要四处收集过多的其他的词典却从来不看。最后，我希望大家也能支持一下每日英语听力这个软件，同为欧路词典公司所出，资源齐全，功能优秀。最重要的是和欧路词典配合使用极佳。下面这篇文章着重于如何将欧路词典应用于日常学习中：感谢阅读，有用请点个赞哦。}

转自：infoQ - 核子可乐、Tina
最近开源软件又爆出一个十级漏洞，该漏洞冲击范围巨大，涉及数百万不同的应用程序，其中也包括 iOS、Android 应用程序以及使用 Electron 构建的跨平台应用程序。
这个漏洞两周前就已经被苹果和谷歌发现，但苹果和谷歌在披露漏洞时缺乏关键信息，造成了“巨大的盲点”，导致全球范围内其他开发者提供的大量应用程序未能得到修补，这些应用程序可能一直处于攻击危险之中。
1为什么会产生“巨大的盲点”
两周前，苹果报告称，威胁行为者正在积极利用 iOS 中的一个关键漏洞（编号为 CVE-2023-41064），以便安装世界上已知的最先进的恶意软件之一“飞马”（Pegasus）间谍软件。这些攻击使用了零点击的漏洞利用方法，也就是说攻击者不需要与目标进行任何交互，只要接收到 iPhone 上的来电或短信，就足以被“飞马”感染。
四天后，谷歌报告称， Chrome 浏览器中存在一个关键漏洞。谷歌表示，该漏洞被指定为 CVE-2023-4863，由苹果安全工程和架构团队以及公民实验室报告。披露中列出的受影响供应商为“谷歌”，受影响软件则为“Chrome”，而且该漏洞已经出现在野利用。谷歌和 Mozilla 马上紧急修复了各自浏览器（分别是 Chrome 和 Firefox）中的漏洞。
实际上，从谷歌的信息中，可以看出该漏洞源自谷歌于 2010 年开发的 libWebp 代码库，用于以 Webp 格式渲染图像。Webp 是当时的一种新兴格式，能够让文件体积比 PNG 图像再降低 26%。libwebp 几乎被整合进各种应用、操作系统及其他渲染 Webp 图像的代码库当中，其中最知名的当数 Chrome 中使用的 Electron 框架，以及在桌面和移动设备上运行的各类应用产品。
本周一，谷歌悄悄重新提交了一项关于影响众多独立应用和软件框架的关键代码执行漏洞信息，以纠正此威胁只会影响到 Chrome 浏览器的错误印象。这份新的披露信息，编号为 CVE-2023-5129。新条目正确为 libwebp 列出了受影响的供应商和软件类别，还将漏洞的严重等级从 8.8 分（满分 10 分）提高到 10 分。
安全公司 Rezillion 的研究人员认为苹果和谷歌的产品漏洞源自同一个基础漏洞，但苹果、谷歌并没有相互协调、准确报告漏洞的共同来源，反而都选择使用单独的 CVE 漏洞编号。这样一来，那些开发者用来追踪其产品中已知漏洞的自动化系统将很难检测到正在被利用的关键漏洞。
Rezillion 研究人员 Ofri Ouzan 和 Yotam Perkal 写道：“由于该漏洞的影响范围包括带漏洞依赖项的软件产品，只有这些软件产品的漏洞扫描器才能识别出漏洞。那些盲目依赖漏洞扫描结果的组织将面对一个巨大的盲点。”
谷歌提交的第一条不完整 CVE 绝不是单纯的技术失误，导致在漏洞曝光两周多之后，不少软件仍未进行修复。其中最典型的例子就是 Microsoft Teams。
谷歌在新提交的漏洞描述中补充了更多细节。之前提交中的描述是：
116.0.5845.176 版本之前的谷歌 Chrome 中，Webp 的堆缓冲区溢出漏洞允许远程攻击者在精心设计的 HTML 页面中执行越界内存写入。（Chromium 安全严重度：严重）
现在新的描述调整为：
使用特定 Webp 无损格式文件，libwebp 可能将数据越界写入堆。ReadHuffmanCodes 函数在分配 HuffmanCode 缓冲区时，其大小来自预先计算出的 size 数组：kTableSize。color_cache_bits 值的定义需要使用此 size。kTableSize 数组仅考虑到 8-bit 一级表查找，但未考虑到二级表查找的 size。而 libwebp 最多只允许 15-bit(MAX_ALLOWED_CODE_LENGTH) 的代码大小。因此当 BuildHuffmanTable 尝试填充二级表时，可能会写入越界数据。对尺寸不足数组的越界写入发生在 ReplicateValue 当中。
无论是按 CVE-2023-4863 还是 CVE-2023-5129 的表述来看，libwebp 的这项漏洞都相当严重。因此在使用 App 之前，用户应确保对应的 Electron 版本已经升级为 v22.3.24、v24.8.3 或者 v25.8.1。
2看似无害的工具，却造成了惊人的影响和冲击范围
2010 年谷歌无意间留下的这个 bug，很可能是引发本次 iOS 零日漏洞的根本原因，并跨越 13 年精确击中了 iPhone 14。
Webp 是谷歌开发的一种开源图像格式（与其他公司共享），跟 jpeg 和 png 属于同一类选手，负责提供一种新的图像压缩方法。这样文件体积更小巧，还原度也更高。没错，大家在看小尺寸 jepg 文件时，是不是经常遇到“色素块”一样的压缩痕迹？Webp 格式就是为了解决这个问题而生。
Jpeg 与 Webp 文件大小对比。
因为这种格式既实用又有谷歌大佬的强力助推，Webp 自然就流行了起来。过去 12 年间，Android 和 Chrome 都默认捆绑 Webp，2 年前开始 Mac/iOS/Safari 也将其纳入自身，更不用说其他各种浏览器了。感兴趣的朋友可以参考这里的支持浏览器完整列表（https://caniuse.com/webp）。
简单讲，Webp 库中的一个 bug 似乎会导致图像解码过程时发生堆缓冲区溢出。就是说，黑客可以向目标 iPhone 发送短信，借此实现设备入侵。对，你没有看错，黑客可以向受害者发送特制的图像来访问对方 iPhone。该图像在被接收后会由 iPhone 中捆绑的 Webp 解码器负责处理，这样黑客就能在 iPhone 上执行命令，且无需用户交互或者许可。
在安全社区中，这类问题被称为零日（0-day）漏洞，即“攻击者先于厂商所发现的软件漏洞”。而这次的 bug，存在大概有 4 到 10 年了吧。而且之所以闹这么大，就是因为 Webp 目前存在于全球数十亿台设备之上。
有很多应用程序使用 libwebp 来渲染 WebP 图像，包括 LibreOffice、Telegram、ffmpeg 以及许多许多 Android 应用程序以及使用 Flutter 构建的跨平台应用程序。
还有基于 Electron 的应用程序，根据维基百科上编制的列表，包括了 1Password、Discord、Eclipse Theia、GitHub Desktop、Microsoft Teams、MongoDB Compass、Notion、QQ (for macOS)、Signal、Skype、Visual Studio Code 等等。
主流浏览器、Linux 操作系统以及大量开源软件均包含 libwebp 库。
该图表中提到的每个产品（以及许多其他产品）都发现自己在某种程度上受到 libwebp 中的此漏洞的影响，但该漏洞的定义 CVE 是由 Google Chrome CNA 作为 Chrome 漏洞发布的，而不是针对任一上游来源。有无数的应用程序使用 Electron、Chromium 或 libwebp，它们都受到此漏洞的影响，而 CVE 则与 Chrome 相关。
当谈论这个 CVE 时，它可能指的是 Chrome、Chrome 的上游，或者上游组件下游的事物。如果问你是否已经修补了这个漏洞，你能给出一个自信的答案吗？随着 Electron 的大规模扩散，可能有许多应用程序受到影响，而你甚至可能不知道究竟哪些受到影响。
但在之前提交的 CVE 中，谷歌并未提及将有众多 App 受此影响。
目前，Electron 修补了该漏洞（https://github.com/electron/electron/pull/39828）。
1Password for Mac 已发布更新来解决该问题。Telegram Desktop 进行了更新，并且 Ubuntu、Debian、SUSE 和其他 Linux 平台也在积极更新其 libwebp 版本。
Android 受不受影响？
Ben Hawkes 曾经在 Google 担任零号项目的经理，他写了一篇关于他对此 CVE 的想法的完整文章（https://blog.isosceles.com/the-webp-0day/）。
Ben 确认 Android 100% 受此影响。“与 Apple 的 ImageIO 类似，Android 有一个名为 BitmapFactory 的工具来处理图像解码，当然也支持 libwebp。截至今天，Android 尚未发布包含 CVE-2023-4863 修复程序的安全公告。”
Android 保护措施能解决这次的问题吗？目前还不清楚，目前事情还在发酵当中。谷歌已经发布了 Webp 更新，可能会通过下个月的 Android 定期补丁推出。到时候参考发行说明，我们才能知道 Android 媒体强化有没有缓解影响，或者说在 iOS 端带来可靠的保护效果。
现在，我们能做的就是更新所有软件。从现在开始，认真检查自动更新有没有开启。苹果已经发布了 Mac 和 iOS 端的重要更新，Chrome 也是一样。预计后续会有更多供应商快速跟进。
身为应用开发者，如果你的应用允许用户生成图像，那请考虑提供更新的 Webp 库版本，并用它来解码用户提交的内容。这样就能主动为用户提供保护，无需等待 Android 平台的整体更新（特别是能保护那些版本太旧、已经停止更新的 Android 设备用户）。
要使用特定版本，大家可以从源代码进行编译（建议包含最新修复），或在这里找到你的目标库：https://developers.google.com/speed/webp/docs/precompiled.
如果你的应用不允许用户生成内容，那就完全无需担心。只要你的应用资产是“安全”的 Webp 文件（即未受恶意篡改的文件），就不会对用户造成任何损害。
参考链接：
https://arstechnica.com/security/2023/09/incomplete-disclosures-by-apple-and-google-create-huge-blindspot-for-0-day-hunters/
https://mp.weixin.qq.com/s/8_7bd_ovF6DSNDVJOSAjjQ
https://arstechnica.com/security/2023/09/google-quietly-corrects-previously-submitted-disclosure-for-critical-webp-0-day/
https://blog.isosceles.com/the-webp-0day/https://medium.com/@shmuelr/my-thoughts-on-the-webp-exploit-98c2e024929f
https://stackdiary.com/critical-vulnerability-in-webp-codec-cve-2023-4863/
https://adamcaudill.com/2023/09/14/whose-cve-is-it-anyway/
点击标题可跳转
1、马斯克硬核迁移服务器
2、Linux内核LTS期限将从6年缩短至2年
3、放弃亚马逊、谷歌，彻底告别 k8s！返回搜狐，查看更多
责任编辑：}