Connaissez-vous Vincent Rabaud ? Ce diplômé de Polytechnique et de l’université de Californie à San Diego est un ancien d’Aldebaran. Il travaille aujourd’hui pour Google et s’y occupe notamment de WebP.
La semaine passée, l’une de ses tâches a consisté à pousser un correctif de sécurité pour ce codec. Ou plus précisément pour la bibliothèque logicielle qui permet son implémentation. Objectif : éliminer une faille potentiellement critique.
Cette vulnérabilité (CVE-2023-4863) tient à une mauvaise gestion de la mémoire au niveau du décodage des fichiers compressés sans perte. Elle peut permettre un dépassement de tas… et par là même, jusqu’à l’exécution de code.
Google a diffusé, en conséquence, une mise à jour de Chrome. Il a affirmé avoir connaissance de tentatives d’exploitation de la faille. Sans en dire plus, toutefois ; notamment s’il avait été ou non possible de sortir de la sandbox du processus de rendu.
Mozilla a émis le même avertissement, en parallèle du correctif pour Firefox. Microsoft et Apple ont également livré un update, respectivement pour Edge et Safari (via macOS). Les distributions Linux ont mis à jour leurs paquets
En principe, tout logiciel embarquant la bibliothèque libwebp est concerné. On peut, par exemple, en mesurer l’étendue au niveau des distributions Linux (cf. Debian et SUSE). Thunderbird et ffmpeg, entre autres, sont sur la liste. Plus surprenant, l’éditeur de texte Emacs l’est aussi. Comme les applications développées avec des frameworks tels qu’Electron et Flutter.
En réponse à la faille, Facebook semble avoir d’abord pris une mesure de contournement : limiter la taille autorisée pour les fichiers WebP sur Messenger.
À consulter en complément :
Quels formats d’images pour des sites web frugaux ?
Google intègre nativement WebP à Gmail
13 failles 0-day vectrices de cyberespionnage en 2022
Faut-il vraiment 52 jours pour corriger une faille ?
Notre traitement de l’épisode Log4j
Photo d’illustration générée par IA
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…