Connaissez-vous Vincent Rabaud ? Ce diplômé de Polytechnique et de l’université de Californie à San Diego est un ancien d’Aldebaran. Il travaille aujourd’hui pour Google et s’y occupe notamment de WebP.
La semaine passée, l’une de ses tâches a consisté à pousser un correctif de sécurité pour ce codec. Ou plus précisément pour la bibliothèque logicielle qui permet son implémentation. Objectif : éliminer une faille potentiellement critique.
Cette vulnérabilité (CVE-2023-4863) tient à une mauvaise gestion de la mémoire au niveau du décodage des fichiers compressés sans perte. Elle peut permettre un dépassement de tas… et par là même, jusqu’à l’exécution de code.
Google a diffusé, en conséquence, une mise à jour de Chrome. Il a affirmé avoir connaissance de tentatives d’exploitation de la faille. Sans en dire plus, toutefois ; notamment s’il avait été ou non possible de sortir de la sandbox du processus de rendu.
Mozilla a émis le même avertissement, en parallèle du correctif pour Firefox. Microsoft et Apple ont également livré un update, respectivement pour Edge et Safari (via macOS). Les distributions Linux ont mis à jour leurs paquets
En principe, tout logiciel embarquant la bibliothèque libwebp est concerné. On peut, par exemple, en mesurer l’étendue au niveau des distributions Linux (cf. Debian et SUSE). Thunderbird et ffmpeg, entre autres, sont sur la liste. Plus surprenant, l’éditeur de texte Emacs l’est aussi. Comme les applications développées avec des frameworks tels qu’Electron et Flutter.
En réponse à la faille, Facebook semble avoir d’abord pris une mesure de contournement : limiter la taille autorisée pour les fichiers WebP sur Messenger.
À consulter en complément :
Quels formats d’images pour des sites web frugaux ?
Google intègre nativement WebP à Gmail
13 failles 0-day vectrices de cyberespionnage en 2022
Faut-il vraiment 52 jours pour corriger une faille ?
Notre traitement de l’épisode Log4j
Photo d’illustration générée par IA
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…