La faille zero-day dans la librairie WebP est critique et n’affecte pas seulement Firefox et Chrome
La faille de sécurité dans la librairie libwebp, utilisée pour encoder et décoder des images au format WebP, est particulièrement dangereuse et affecte de nombreuses applications. Ceci ne s'arrête pas uniquement au navigateur Google Chrome et Google souhaite clarifier cette situation. Désormais, cette vulnérabilité bénéficie d'un nouvel ID de CVE !
Récemment, Google a mis à jour Chrome afin de patcher une faille de sécurité critique dans la librairie libwebp, à savoir la faille de sécurité CVE-2023-4863, déjà exploitée au sein de cyberattaques. Quelques jours plus tard, Mozilla avait fait la même chose en patchant son navigateur Firefox et son client de messagerie Thunderbird.
Cette faille zero-day, initialement associée à la référence CVE-2023-4863 bénéficie désormais d'un nouvel identifiant : CVE-2023-5129. Cette vulnérabilité est critique et cette nouvelle référence CVE est associée à un score CVSS maximal de 10 sur 10 ! La nouvelle classification de cette vulnérabilité souligne l'importance d'y remédier rapidement.
Bien qu'associée à Google Chrome, cette vulnérabilité se situe dans libwebp, une bibliothèque conçue pour encoder et décoder des images au format WebP, un format moderne utilisé par de nombreux sites web. De type heap buffer overflow, cette vulnérabilité exploitée dans le cadre d'attaque permettrait d'exécuter du code arbitraire sur la machine de l'utilisateur, mais également de mener à un crash de la machine.
Désormais associée à la référence CVE-2023-5129, elle est officiellement reconnue comme une faille dans libwebp, ce qui évitera que chaque éditeur qui corrige cette vulnérabilité lui associe un nouvel identifiant CVE. Par exemple, d'après le chercheur en sécurité Ben Hawkes, cette vulnérabilité pourrait correspondre à la faille de sécurité CVE-2023-41064 corrigée par Apple sur les iPhone et exploitée dans le cadre d'attaques zéro clic (exploit BLASTPASS).
De nombreux projets utilisent la bibliothèque libwebp ! On peut citer les navigateurs Safari, Opera, Microsoft Edge, les navigateurs natifs sur Android, ainsi que d'autres applications comme Signal et 1Password.