Faille critique dans WebP : une surface d’attaque étendue

Clément Bohic,
Linkedin
faille WebP

Une faille critique a été corrigée dans la bibliothèque logicielle du codec WebP. Jusqu’où s’étend le risque ?

Connaissez-vous Vincent Rabaud ? Ce diplômé de Polytechnique et de l’université de Californie à San Diego est un ancien d’Aldebaran. Il travaille aujourd’hui pour Google et s’y occupe notamment de WebP.

La semaine passée, l’une de ses tâches a consisté à pousser un correctif de sécurité pour ce codec. Ou plus précisément pour la bibliothèque logicielle qui permet son implémentation. Objectif : éliminer une faille potentiellement critique.

Cette vulnérabilité (CVE-2023-4863) tient à une mauvaise gestion de la mémoire au niveau du décodage des fichiers compressés sans perte. Elle peut permettre un dépassement de tas… et par là même, jusqu’à l’exécution de code.

Un Log4j bis ?

Google a diffusé, en conséquence, une mise à jour de Chrome. Il a affirmé avoir connaissance de tentatives d’exploitation de la faille. Sans en dire plus, toutefois ; notamment s’il avait été ou non possible de sortir de la sandbox du processus de rendu.

Mozilla a émis le même avertissement, en parallèle du correctif pour Firefox. Microsoft et Apple ont également livré un update, respectivement pour Edge et Safari (via macOS). Les distributions Linux ont mis à jour leurs paquets

En principe, tout logiciel embarquant la bibliothèque libwebp est concerné. On peut, par exemple, en mesurer l’étendue au niveau des distributions Linux (cf. Debian et SUSE). Thunderbird et ffmpeg, entre autres, sont sur la liste. Plus surprenant, l’éditeur de texte Emacs l’est aussi. Comme les applications développées avec des frameworks tels qu’Electron et Flutter.

En réponse à la faille, Facebook semble avoir d’abord pris une mesure de contournement : limiter la taille autorisée pour les fichiers WebP sur Messenger.

À consulter en complément :

Quels formats d’images pour des sites web frugaux ?
Google intègre nativement WebP à Gmail
13 failles 0-day vectrices de cyberespionnage en 2022
Faut-il vraiment 52 jours pour corriger une faille ?
Notre traitement de l’épisode Log4j

Photo d’illustration générée par IA