Dans le Web moderne, une image WebP « malveillante » peut transformer votre navigateur en danger
Paume faciale : Un fichier image traditionnel doit simplement contenir des graphiques et des métadonnées utiles pour afficher une image – ou une série d’images – à l’écran. Mais les choses sont devenues bien plus complexes que cela, et une « simple » image WebP peut désormais devenir un vecteur malveillant à exploiter dans des opérations de cybercriminalité.
Google a récemment publié une nouvelle mise à jour Stable Channel pour son navigateur Web Chrome sur tous les systèmes d’exploitation PC pris en charge, conçue pour corriger une vulnérabilité de sécurité activement exploitée. Les détails sur la faille sont inconnus à ce stade, mais le problème affecte également les navigateurs et les clients Internet développés par d’autres sociétés.
Suivi comme CVE-2023-4863, le bogue est décrit comme un débordement de tampon de tas dans la prise en charge WebP de Chrome avant la version 116.0.5845.187. Un attaquant distant pourrait exploiter cette faille pour effectuer une écriture mémoire en dehors du tampon alloué via une page HTML contrefaite, ce qui pourrait conduire à l’exécution de code arbitraire (et probablement malveillant).
Google reconnaît le travail d’analyse effectué par les chercheurs d’Apple Security Engineering and Architecture (SEAR) et du Citizen Lab de l’Université de Toronto, qui ont récemment découvert une autre faille zero-day exploitée par un groupe d’ONG pour installer le logiciel espion Pegasus sur les appareils iPhone et iPad. CVE-2023-4863 est une vulnérabilité critique, explique Google, avec un exploit qui circule déjà « dans la nature ».
Mountain View a récemment introduit les mises à jour de canal stables afin de fournir rapidement des mises à jour de sécurité critiques aux utilisateurs de Chrome chaque semaine. CVE-2023-4863 est une démonstration flagrante du fait que l’entreprise a fait le bon choix. La faille 0-day affecte également les navigateurs web et autres outils internet développés par Mozilla.
La fondation open source a travaillé en synchronisation avec Google et le cycle Patch Tuesday de Microsoft pour fournir des mises à jour fraîchement préparées pour le navigateur Web Firefox (117.0.1, ESR 115.2.1, ESR 102.15.1) et le client de messagerie Thunderbird (102.15.1). , 115.2.2). L’avis de Mozilla remercie également Apple et The Citizen Lab d’avoir signalé la vulnérabilité, qui a été trouvée dans la bibliothèque de codecs WebP officielle de Google (libwebp).
L’ouverture d’une image WebP « malveillante » pourrait entraîner un débordement de tampon dans le processus de contenu, explique Mozilla, avec des plantages potentiels ou l’exécution de code arbitraire. Mozilla et Google ont décidé de garder secrets les détails spécifiques du bug pour l’instant, car des attaques spécialement conçues sont toujours en cours et les utilisateurs auront besoin de temps pour télécharger et installer les mises à jour.