Un énorme bogue de sécurité vient d’être découvert. En début de semaine, une faille de sécurité dans le codec WebP a été révélée, affectant de nombreuses applications et systèmes d’exploitation.
Les navigateurs Web sont les plus exposés, car les images WebP sont désormais courantes sur le Web, mais certaines applications qui prennent en charge le codec WebP (telles que LibreOffice et Telegram) doivent également être corrigées pour éviter les problèmes de sécurité.
Mozilla vient de déployer des correctifs d’urgence pour Firefox et Thunderbird, et maintenant Google Chrome et les navigateurs basés sur Chromium sont en train d’être corrigés.
Google Chrome a déployé un correctif pour la faille de sécurité dans ses canaux Stable et Extended stable, à partir de la version 116.0.5845.187 pour Mac et Linux et des versions 116.0.5845.187/.188 pour Windows. Si vous recherchez manuellement les mises à jour de Chrome, la mise à jour sera probablement trouvée et installée. Sinon, elle devrait être téléchargée automatiquement dans les prochains jours (si ce n’est déjà fait) et vous inviter à redémarrer le navigateur Web. La faille de sécurité affecte également tous les navigateurs basés sur le projet Chromium. Microsoft vient donc de publier la version 116.0.1938.81 de Edge, qui corrige la même faille.
Vivaldi et Brave Brower sont également en train de déployer le correctif.
Un bug assez impactant
La faille de sécurité (appelée CVE-2023-4863) affecte libwebp, l’un des moyens les plus courants pour les applications de rendre les images WebP. Elle permet à une image WebP malveillante de provoquer un débordement de la mémoire tampon, qui peut potentiellement être utilisé pour prendre le contrôle de votre ordinateur. Google affirme avoir découvert que la faille de sécurité est exploitée dans la nature, et qu’il est donc important de la mettre à jour dès que possible.
Il n’est pas certain que le navigateur Web Safari d’Apple soit directement affecté — il est possible qu’il utilise une méthode différente pour afficher les images WebP. Apple vient de publier des mises à jour pour iOS 16, iOS 15, watchOS 9, macOS 11 Big Sur, macOS Monterey 12 et macOS 13 Ventura afin de corriger une autre faille de sécurité liée aux images. Ce problème de sécurité, connu sous le nom de CVE-2023-41064, permettait également à un problème de débordement de mémoire tampon d’exécuter un code arbitraire sur l’appareil. Les détails techniques exacts ne sont pas rendus publics afin d’éviter que les exploits ne deviennent plus courants, mais cette faille spécifique n’affecte que les appareils Apple, en raison d’une vulnérabilité dans le framework ImageIO utilisé dans le logiciel d’Apple.
En raison de la gravité potentielle de ce bug, vous devriez vérifier si vos applications sont mises à jour dès que possible, et vous assurer de les mettre à jour le plus rapidement possible. C’est la meilleure façon de protéger votre ordinateur contre cet exploit.
