Tout mettre à jour : cette vulnérabilité critique de WebP affecte les principaux navigateurs et applications

Tout mettre à jour : cette vulnérabilité critique de WebP affecte les principaux navigateurs et applications
Des lecteurs comme vous contribuent à soutenir MUO. Lorsque vous effectuez un achat en utilisant des liens sur notre site, nous pouvons gagner une commission d'affiliation. En savoir plus.

Une vulnérabilité critique dans le codec WebP a été découverte, obligeant les principaux navigateurs à accélérer les mises à jour de sécurité. Cependant, l'utilisation généralisée du même code de rendu WebP signifie que d'innombrables applications sont également affectées, jusqu'à ce qu'elles publient des correctifs de sécurité.





Vidéo MUO du jour DÉFILEZ POUR CONTINUER AVEC LE CONTENU

Alors, quelle est la vulnérabilité CVE-2023-4863 ? À quel point est-ce grave ? Et que pouvez-vous faire ?



Qu'est-ce que la vulnérabilité WebP CVE-2023-4863 ?

Le problème dans le codec WebP a été nommé CVE-2023-4863. La racine se trouve dans une fonction spécifique du code de rendu WebP (le « BuildHuffmanTable »), rendant le codec vulnérable aux débordements de tampon de tas .





Une surcharge de la mémoire tampon se produit lorsqu'un programme écrit plus de données dans une mémoire tampon qu'il n'est conçu pour en contenir. Lorsque cela se produit, cela peut potentiellement écraser la mémoire adjacente et corrompre les données. Pire encore, les pirates peuvent exploiter les débordements de tampon de tas pour prendre le contrôle des systèmes et appareils à distance.

Une interface de ligne de commande affichant un code malveillant

Les pirates peuvent cibler les applications connues pour présenter des vulnérabilités de débordement de mémoire tampon et leur envoyer des données malveillantes. Par exemple, ils pourraient télécharger une image WebP malveillante qui déploie du code sur l’appareil de l’utilisateur lorsqu’il le visualise dans son navigateur ou dans une autre application.



Ce type de vulnérabilité existant dans un code aussi largement utilisé que le codec WebP constitue un problème sérieux. Outre les principaux navigateurs, d'innombrables applications utilisent le même codec pour restituer les images WebP. À ce stade, la vulnérabilité CVE-2023-4863 est trop répandue pour que nous puissions connaître son ampleur réelle et le nettoyage s'annonce compliqué.

Est-il sécuritaire d’utiliser mon navigateur préféré ?

Oui, la plupart des principaux navigateurs ont déjà publié des mises à jour pour résoudre ce problème. Ainsi, tant que vous mettez à jour vos applications vers la dernière version, vous pouvez naviguer sur le Web comme d'habitude. Google, Mozilla, Microsoft, Brave et Tor ont tous publié des correctifs de sécurité et d'autres l'ont probablement fait au moment où vous lisez ces lignes.



Les mises à jour contenant des correctifs pour cette vulnérabilité spécifique sont :

le port usb de la manette xbox one ne fonctionne pas
  • Chrome: Version 116.0.5846.187 (Mac/Linux) ; version 116.0.5845.187/.188 (Windows)
  • Firefox : Firefox 117.0.1 ; Firefox ESR 115.2.1 ; Oiseau-tonnerre 115.2.2
  • Bord: Version Edge 116.0.1938.81
  • Courageux: Version courageuse 1.57.64
  • Tor: Navigateur Tor 12.5.4

Si vous utilisez un autre navigateur, recherchez les dernières mises à jour et recherchez des références spécifiques à la vulnérabilité de dépassement de tampon de tas CVE-2023-4863 dans WebP. Par exemple, l'annonce de mise à jour de Chrome inclut la référence suivante : « Critical CVE-2023-4863 : Heap buffer overflow in WebP ».



Notes de mise à jour de Chrome faisant référence à un correctif de sécurité pour la vulnérabilité WebP CVE-2023-4863

Si vous ne trouvez pas de référence à cette vulnérabilité dans la dernière version de votre navigateur préféré, passez à celle répertoriée ci-dessus jusqu'à ce qu'un correctif soit publié pour le navigateur de votre choix.

Puis-je utiliser mes applications préférées en toute sécurité ?

C'est là que ça devient délicat. Malheureusement, la vulnérabilité WebP CVE-2023-4863 affecte également un nombre inconnu d'applications. Premièrement, tout logiciel utilisant la bibliothèque libwebp est affecté par cette vulnérabilité, ce qui signifie que chaque fournisseur devra publier ses propres correctifs de sécurité.

Pour compliquer les choses, cette vulnérabilité est intégrée à de nombreux frameworks populaires utilisés pour créer des applications. Dans ces cas-là, les frameworks doivent d’abord être mis à jour, puis les fournisseurs de logiciels qui les utilisent doivent mettre à jour vers la dernière version pour protéger leurs utilisateurs. Il est donc très difficile pour l’utilisateur moyen de savoir quelles applications sont concernées et lesquelles ont résolu le problème.

Comme l'a découvert Alex Ivanovs sur Stack Diary , les applications concernées incluent Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice et la suite Affinity, parmi bien d'autres.

1Password a publié une mise à jour pour résoudre le problème, bien que sa page d'annonce comprenne une faute de frappe pour l'ID de vulnérabilité CVE-2023-4863 (en le terminant par -36, au lieu de -63). Apple a également a publié un correctif de sécurité pour macOS cela semble résoudre le même problème, mais il n’y fait pas spécifiquement référence. De même, Slack a publié une mise à jour de sécurité le 12 septembre (version 4.34.119) mais ne fait pas référence à CVE-2023-4863.

Mettez tout à jour et procédez avec précaution

En tant qu'utilisateur, la seule chose que vous pouvez faire concernant la vulnérabilité WebP Codex CVE-2023-4863 est de tout mettre à jour. Commencez avec chaque navigateur que vous utilisez, puis parcourez vos applications les plus importantes.

comment avoir internet sur un ordinateur portable n'importe où

Vérifiez les dernières versions de chaque application possible et recherchez des références spécifiques à l'ID CVE-2023-4863. Si vous ne trouvez pas de références à cette vulnérabilité dans les dernières notes de version, envisagez de passer à une alternative sécurisée jusqu'à ce que votre application préférée résolve le problème. Si ce n’est pas une option, recherchez les mises à jour de sécurité publiées après le 12 septembre et continuez à mettre à jour dès que de nouveaux correctifs de sécurité sont publiés.

Cela ne garantit pas que le CVE-2023-4863 soit résolu, mais c’est la meilleure option de repli dont vous disposez à ce stade.

WebP : une bonne solution avec une mise en garde

Google a lancé WebP en 2010 comme solution permettant de rendre les images plus rapidement dans les navigateurs et autres applications. Le format fournit une compression avec et sans perte qui peut réduire la taille des fichiers image d'environ 30 % tout en conservant une qualité perceptible.

Côté performances, WebP est une bonne solution pour réduire les temps de rendu. Cependant, il s’agit également d’une mise en garde contre la priorité donnée à un aspect spécifique de la performance par rapport à d’autres : la sécurité. Lorsqu’un développement à moitié terminé rencontre une adoption généralisée, cela crée une tempête parfaite pour les vulnérabilités des sources. Et avec l’augmentation des exploits Zero Day, des entreprises comme Google doivent améliorer leur jeu ou les développeurs devront scruter davantage les technologies.