Microsoft Edge et Teams Failles zero-day libwebp et libvpx

Mettez à jour Microsoft Teams et Edge pour vous protéger de ces deux failles zero-day !

04/10/2023 Florian BURNEL 0 commentaire Microsoft, Microsoft Edge, Microsoft Teams, Sécurité, Vulnérabilités

Des produits phares de chez Microsoft ont reçu une mise à jour de sécurité à installer en urgence : Edge, Teams (et Skype) ! Cette mise à jour corrige deux failles de sécurité zero-day présentes au sein de librairies open source utilisé par ces applications. Faisons le point.

Sommaire

Première faille de sécurité zero-day : libwebp
Deuxième faille de sécurité zero-day : libvpx
Comment se protéger ?

Première faille de sécurité zero-day : libwebp

La première faille de sécurité zero-day n'est autre que celle qui affecte la librairie open source libwebp, utilisée pour traiter les images au format WebP. Créée par Google en 2010, cette librairie est affectée par une vulnérabilité de type "heap buffer overflow" associée à la référence CVE-2023-5129 (initialement, il s'agissait de la CVE-2023-4863). En l'exploitant, un attaquant peut faire planter la machine cible ou effectuer une exécution de code à distance.

Ce n'est pas surprenant de voir des mises à jour critiques sortir les unes après les autres pour corriger cette vulnérabilité, car la librairie libwebp est utilisée par de nombreux éditeurs. Dernièrement, Google l'a corrigée dans son navigateur Chrome tandis que la fondation Mozilla a fait le nécessaire dans le navigateur Firefox. Le navigateur Edge vient s'ajouter à cette liste, et d'autres navigateurs devraient suivre, car la librairie libwebp est également utilisée par Safari, Opera et les navigateurs intégrés à Android.

Deuxième faille de sécurité zero-day : libvpx

Il y a quelques jours, Google a déployé une mise à jour pour son navigateur Chrome afin de corriger une nouvelle faille de sécurité zero-day : la CVE-2023-5217, située dans une fonction d'encodage de la bibliothèque de codecs vidéo libvpx. Également de type "heap buffer overflow", elle est considérée comme importante puisqu'elle hérite d'un score CVSS v3.1 de 8.8 sur 10. En l'exploitant, un attaquant peut faire planter la machine ou l'application, ou exécuter du code à distance.

Désormais, c'est au tour de Microsoft de patcher ses produits ! La bibliothèque libvpx est utilisée pour l'encodage et le décodage des vidéos VP8 et VP9, que ce soit pour les logiciels de lecture de fichiers vidéo ou la lecture en streaming depuis des services en ligne comme Netflix et YouTube.

Comment se protéger ?

Ces deux vulnérabilités sont connues et elles seraient exploitées dans le cadre d'attaques. D'ailleurs, Maddie Stone de l'équipe Google Threat Analysis Group a évoqué sur X (ex-Twitter) que la vulnérabilité dans libvxp avait été utilisée pour installer un malware sur des machines. Alors, comment se protéger ?

La réponse vous la connaissez : il faut installer les dernières mises à jour de Microsoft Edge, ainsi que de Teams et Skype, même si ce dernier n'est plus trop à la mode. Dans son bulletin de sécurité, Microsoft précise aussi que l'application "Webp Image Extensions" disponible sur le Microsoft Store bénéficie aussi d'une mise à jour.

Source

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Voir la bio complète