Voir la démo×
×

Voir NinjaOne en action !

WebP 0-Day CVE-2023-5129 : Comment identifier les applications vulnérables avec NinjaOne

WebP 0-day: How to Identify Apps Vulnerable to CVE-2023-5129

Une vulnérabilité de type « zero-day » (CVE-2023-5129) dans la bibliothèque d’images WebP est activement exploitée, mettant en danger les principaux navigateurs et des dizaines d’applications supplémentaires.

Qu’est-ce que ça signifie ?

Mercredi, Google a publié la vulnérabilité CVE-2023-5129 et lui a attribué un score de base de 10. Cela souligne la menace et la gravité de la faille, la situation est particulièrement grave.

Qu’est-ce que CVE-2023-5129 ?

CVE-2023-5129 est une faille de dépassement de tampon (heap buffer overflow) dans le format d’image WebP. Notamment, il permet une compression sans dégradation des images sur le web (l’utilisation de WebP permet aux développeurs de sites web de créer des images plus petites mais toujours aussi nettes, ce qui accélère la navigation). Nous n’entrerons pas dans les détails ici, mais vous pouvez trouver plus d’informations générales sur les failles de dépassement de tampon, et sur le problème de la fonction « BuildHuffmanTable » de la bibliothèque libwebp, en particulier, dans cet article d’Alex Ivanovs sur StackDiary.

À noter : cette vulnérabilité était à l’origine répertoriée sous le nom de CVE-2023-4863 et ne s’appliquait qu’à Chrome. Le nouveau CVE a été publié pour préciser que la faille s’applique en fait à un nombre beaucoup plus important d’applications (liste partielle ci-dessous).

Quelle est la sévérité de CVE-2023-5129 ?

Malheureusement, c’est très grave (d’où le CVSS de 10). Pour trois raisons différentes :

  • L’impact est extrêmement vaste : La vulnérabilité affecte tous les logiciels qui utilisent le codec WebP. Cela inclut les principaux navigateurs comme Chrome, Firefox, Safari et Edge, mais aussi, comme mentionné, une multitude d’applications supplémentaires (liste partielle ci-dessous). Les administrateurs qui souffrent encore du syndrome de stress post-traumatique lié à log4j reconsidèrent une fois de plus leur choix de vie.
  • L’impact de l’exploitation est extrêmement grave : Une exploitation réussie pourrait potentiellement permettre à des attaquants de prendre le contrôle d’un système, d’exécuter un code arbitraire et d’accéder à des données sensibles de l’utilisateur.
  • Les attaquants l’exploitent déjà activement : Au début du mois (11 septembre), Google a reconnu que la norme CVE-2023-4863 était exploitée. De plus, cette faille a été associée au rapport « BLASTPASS » publié le 7 septembre par Citizen Lab, qui révèle un programme d’exploitation de l’iPhone de type « zero-click » (zéro clic).

Quelles sont les applications concernées par CVE-2023-5129 ?

De nombreuses applications utilisent le traitement d’images WebP via libwebp. Comme indiqué sur cyberkendra.com, « puisque le codec est intégré à Android, toutes les applications de navigation natives sur les appareils Android sont concernées ».

Mais la liste ne s’arrête pas là. Ils signalent également que, selon une liste compilée sur Wikipedia, les applications suivantes utilisent le codec WebP :

  • 1Password
  • balenaEtcher
  • Basecamp 3
  • Beaker (navigateur web)
  • Bitwarden
  • CrashPlan
  • Cryptocat (abandonné)
  • Discord
  • Eclipse Theia
  • FreeTube
  • GitHub Desktop
  • GitKraken
  • Joplin
  • Keybase
  • Lbry
  • Light Table
  • Logitech Options +
  • LosslessCut
  • Mattermost
  • Microsoft Teams
  • MongoDB Compass
  • Mullvad
  • Notion
  • Obsidian
  • QQ (pour macOS)
  • Quasar Framework
  • Shift
  • Signal
  • Skype
  • Slack
  • Symphony Chat
  • Tabby
  • Termius
  • TIDAL
  • Twitch
  • Visual Studio Code
  • WebTorrent
  • Wire
  • Yammer

Quelles sont les applications pour lesquelles des correctifs pour CVE-2023-5129 sont disponibles ?

Cyberkendra.com dresse également une liste utile des fournisseurs qui ont introduit des correctifs pour cette vulnérabilité et la mettra à jour :

Que peuvent faire les administrateurs pour protéger leurs réseaux ?

Compte tenu de l’attention que cette affaire ne manquera pas de susciter et de l’exploitation active déjà confirmée, il est vivement recommandé de mettre à jour les applications vulnérables (et de confirmer que les correctifs ont été appliqués) dès que possible, une fois les mises à jour disponibles.

Malheureusement, le nombre total d’applications concernées n’a pas encore été déterminé, et vous ne pouvez pas patcher une application si vous ne savez pas qu’elle est vulnérable ou si le correctif n’est pas disponible. Il faut espérer que d’autres fournisseurs fourniront bientôt plus d’informations et de clarté.

En attendant…

Comment identifier les applications vulnérables à l’aide de NinjaOne ?

En attendant de connaître l’étendue des applications vulnérables, les professionnels de l’informatique peuvent au moins rechercher sur leurs réseaux les appareils fonctionnant avec des versions obsolètes d’applications qui ont été corrigées. Dans cette vidéo, Gavin Stone, Chef de produit chez NinjaOne, explique comment les utilisateurs de NinjaOne peuvent le faire en utilisant le filtre d’inventaire logiciel :

Liens et ressources supplémentaires

Prochaines étapes

Les principes fondamentaux de la sécurité des appareils sont essentiels à votre posture de sécurité. NinjaOne facilite l’application de correctifs, le durcissement, la sécurisation et la sauvegarde des données de tous les appareils de façon centralisée, à distance et à grande échelle.

Pour en savoir plus sur NinjaOne Protect, participer à une visite guidée ou profitez d’un essai gratuit de la plateforme NinjaOne.

Vous pourriez aussi aimer

Prêt à devenir un Ninja de l’informatique ?

Découvrez comment NinjaOne peut vous aider à simplifier les opérations informatiques.

By clicking the “I Accept” button below, you indicate your acceptance of the following legal terms as well as our Terms of Use:

  • Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms.
  • Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party.
  • Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library belonging to or under the control of any other software provider.
  • Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations.
  • Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks.
  • Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script.
  • EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).