Une grave faille de sécurité dans le format graphique WebP menace les navigateurs et les applications
Il existe actuellement une grave faille de sécurité dans la bibliothèque de code "libwebp". De nombreux navigateurs et programmes populaires sont concernés et vulnérables.
"CVE-2023-4863" est le nom de la vulnérabilité qui menace actuellement de nombreux systèmes. Elle se trouve dans la bibliothèque de code "libwebp", qui est nécessaire pour le rendu des images WebP. Il s'agit d'une vulnérabilité de type "heap buffer overflow". Celle-ci permet aux cybercriminels d'introduire un code malveillant sur votre appareil, par exemple lorsque vous surfez, et de l'exécuter à distance. C'est ce qu'on appelle une "attaque par débordement de tampon". Cela peut endommager un système ou voler des données privées. Dans le pire des cas, ils peuvent également prendre le contrôle de votre système. Selon plusieurs sources https://futurezone.at/digital-life/sicherheitsluecke-browser-update-webp-libwebp/402594344, cela s'est déjà produit.
Expliqué simplement : Qu'est-ce qu'une attaque par "buffer overflow" ?
Un "buffer overflow" (débordement de mémoire tampon) est à prendre au sens littéral. Il se produit lorsque plus de données sont chargées dans une mémoire que la mémoire tampon ne peut en fournir. En raison de la vulnérabilité, le programme ne peut pas vérifier correctement les données qui sont "écrasées" dans la mémoire tampon. Ces données s'étendent alors à d'autres zones de la mémoire. Cela peut entraîner le remplacement, la corruption ou la compromission des données dans ces zones. Un correctif permet maintenant aux programmes de contrôler correctement les données entrantes et de respecter les limites de la mémoire.
Quels programmes sont concernés?
Les logiciels qui utilisent la bibliothèque "libwebp" en question. En principe, il s'agit de tous les programmes basés soit sur Chromium, soit sur le framework Electron. Cela concerne d'une part pratiquement tous les navigateurs connus (même ceux qui ne sont pas sous Chromium) : Chrome, Firefox, Edge, Opera, Vivaldi, Safari et Brave.
Source : Florian Bodoky
D'autre part, d'autres logiciels répandus : Discord, MS Teams ou Signal, mais aussi Libreoffice ou 1Password et bien d'autres. Peu importe le système d'exploitation sur lequel vous les utilisez - partout, "libwebp" est utilisé
Que dois-je faire?
C'est là que je peux enfin vous annoncer une bonne nouvelle. Il existe déjà des correctifs pour les navigateurs Chromium. Il est donc préférable de vérifier dès maintenant si une mise à jour est disponible. Si ce n'est pas le cas, cela le sera certainement dans les deux jours à venir. Electron a également déjà réagi et publié un correctif. Vous pouvez donc vous attendre à ce que les développeurs des applications basées sur Electron vous proposent une mise à jour dès maintenant ou dans les prochains jours. Pour savoir quels sont les programmes qui utilisent Electron, , cliquez ici.
Photo de couverture:Shutterstock
Depuis que j'ai découvert comment activer les deux canaux téléphoniques de la carte RNIS pour obtenir une plus grande bande passante, je bricole des réseaux numériques. Depuis que je sais parler, je travaille sur des réseaux analogiques. Un Winterthourois d'adoption au cœur rouge et bleu.