IT-Connect » Actualités » Actu Cybersécurité » La faille zero-day dans la librairie WebP est critique et n’affecte pas seulement Firefox et Chrome

Librairie WebP Zero-day critique CVE-2023-5129
Actu Cybersécurité 

La faille zero-day dans la librairie WebP est critique et n’affecte pas seulement Firefox et Chrome

Florian BURNEL 817 Views Aucun commentaire , , 1 min read

La faille de sécurité dans la librairie libwebp, utilisée pour encoder et décoder des images au format WebP, est particulièrement dangereuse et affecte de nombreuses applications. Ceci ne s'arrête pas uniquement au navigateur Google Chrome et Google souhaite clarifier cette situation. Désormais, cette vulnérabilité bénéficie d'un nouvel ID de CVE !

Récemment, Google a mis à jour Chrome afin de patcher une faille de sécurité critique dans la librairie libwebp, à savoir la faille de sécurité CVE-2023-4863, déjà exploitée au sein de cyberattaques. Quelques jours plus tard, Mozilla avait fait la même chose en patchant son navigateur Firefox et son client de messagerie Thunderbird.

Cette faille zero-day, initialement associée à la référence CVE-2023-4863 bénéficie désormais d'un nouvel identifiant : CVE-2023-5129. Cette vulnérabilité est critique et cette nouvelle référence CVE est associée à un score CVSS maximal de 10 sur 10 ! La nouvelle classification de cette vulnérabilité souligne l'importance d'y remédier rapidement.

Bien qu'associée à Google Chrome, cette vulnérabilité se situe dans libwebp, une bibliothèque conçue pour encoder et décoder des images au format WebP, un format moderne utilisé par de nombreux sites web. De type heap buffer overflow, cette vulnérabilité exploitée dans le cadre d'attaque permettrait d'exécuter du code arbitraire sur la machine de l'utilisateur, mais également de mener à un crash de la machine.

Désormais associée à la référence CVE-2023-5129, elle est officiellement reconnue comme une faille dans libwebp, ce qui évitera que chaque éditeur qui corrige cette vulnérabilité lui associe un nouvel identifiant CVE. Par exemple, d'après le chercheur en sécurité Ben Hawkes, cette vulnérabilité pourrait correspondre à la faille de sécurité CVE-2023-41064 corrigée par Apple sur les iPhone et exploitée dans le cadre d'attaques zéro clic (exploit BLASTPASS).

De nombreux projets utilisent la bibliothèque libwebp ! On peut citer les navigateurs Safari, Opera, Microsoft Edge, les navigateurs natifs sur Android, ainsi que d'autres applications comme Signal et 1Password.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5580.Voir tous les posts

Vous pourrez aussi aimer

Fortinet FortiGate - CVE-2023-25610

CVE-2023-25610 : une nouvelle faille critique affecte les firewalls Fortinet

Florian BURNEL 1
Free Download Manager malware Linux

Utilisateurs de Free Download Manager sous Linux, vérifiez si votre machine est infectée par ce malware

Florian BURNEL 0

Europe : Akamai a bloqué une attaque DDoS record avec 659 millions de paquets par seconde

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.