Une vuln\u00e9rabilit\u00e9 de type \u00ab\u00a0zero-day\u00a0\u00bb (CVE-2023-5129) dans la biblioth\u00e8que d’images WebP est activement exploit\u00e9e, mettant en danger les principaux navigateurs et des dizaines d’applications suppl\u00e9mentaires.<\/p>\n
Mercredi, Google a publi\u00e9 la vuln\u00e9rabilit\u00e9 CVE-2023-5129<\/a> et lui a attribu\u00e9 un score de base de 10. Cela souligne la menace et la gravit\u00e9 de la faille, la situation est particuli\u00e8rement grave.<\/p>\n CVE-2023-5129 est une faille de d\u00e9passement de tampon (heap buffer overflow) dans le format d’image WebP<\/a>. Notamment, il permet une compression sans d\u00e9gradation des images sur le web (l’utilisation de WebP permet aux d\u00e9veloppeurs de sites web de cr\u00e9er des images plus petites mais toujours aussi nettes, ce qui acc\u00e9l\u00e8re la navigation). Nous n’entrerons pas dans les d\u00e9tails ici, mais vous pouvez trouver plus d’informations g\u00e9n\u00e9rales sur les failles de d\u00e9passement de tampon, et sur le probl\u00e8me de la fonction \u00ab\u00a0BuildHuffmanTable\u00a0\u00bb de la biblioth\u00e8que libwebp, en particulier, dans cet article d’Alex Ivanovs sur StackDiary<\/a>.<\/p>\n \u00c0 noter : cette vuln\u00e9rabilit\u00e9 \u00e9tait \u00e0 l’origine r\u00e9pertori\u00e9e sous le nom de CVE-2023-4863<\/a> et ne s’appliquait qu’\u00e0 Chrome. Le nouveau CVE a \u00e9t\u00e9 publi\u00e9 pour pr\u00e9ciser que la faille s’applique en fait \u00e0 un nombre beaucoup plus important d’applications (liste partielle ci-dessous).<\/p>\n Malheureusement, c’est tr\u00e8s grave (d’o\u00f9 le CVSS de 10). Pour trois raisons diff\u00e9rentes :<\/p>\n De nombreuses applications utilisent le traitement d’images WebP via libwebp.\u00a0Comme indiqu\u00e9 sur cyberkendra.com<\/a>, \u00ab\u00a0puisque le codec est int\u00e9gr\u00e9 \u00e0 Android, toutes les applications de navigation natives sur les appareils Android sont concern\u00e9es\u00a0\u00bb.<\/p>\n Mais la liste ne s’arr\u00eate pas l\u00e0. Ils signalent \u00e9galement que, selon une liste compil\u00e9e sur Wikipedia, les applications suivantes utilisent le codec WebP :<\/p>\n Cyberkendra.com dresse \u00e9galement une liste utile des fournisseurs qui ont introduit des correctifs pour cette vuln\u00e9rabilit\u00e9 et la mettra \u00e0 jour :<\/p>\n Compte tenu de l’attention que cette affaire ne manquera pas de susciter et de l’exploitation active d\u00e9j\u00e0 confirm\u00e9e, il est vivement recommand\u00e9 de mettre \u00e0 jour les applications vuln\u00e9rables (et de confirmer que les correctifs ont \u00e9t\u00e9 appliqu\u00e9s) d\u00e8s que possible, une fois les mises \u00e0 jour disponibles.<\/p>\n Malheureusement, le nombre total d’applications concern\u00e9es n’a pas encore \u00e9t\u00e9 d\u00e9termin\u00e9, et vous ne pouvez pas patcher une application si vous ne savez pas qu’elle est vuln\u00e9rable ou si le correctif n’est pas disponible. Il faut esp\u00e9rer que d’autres fournisseurs fourniront bient\u00f4t plus d’informations et de clart\u00e9.<\/p>\n En attendant…<\/p>\n En attendant de conna\u00eetre l’\u00e9tendue des applications vuln\u00e9rables, les professionnels de l’informatique peuvent au moins rechercher sur leurs r\u00e9seaux les appareils fonctionnant avec des versions obsol\u00e8tes d’applications qui ont \u00e9t\u00e9 corrig\u00e9es. Dans cette vid\u00e9o, Gavin Stone, Chef de produit chez NinjaOne, explique comment les utilisateurs de NinjaOne peuvent le faire en utilisant le filtre d’inventaire logiciel :<\/p>\nQu’est-ce que CVE-2023-5129 ?<\/h2>\n
Quelle est la s\u00e9v\u00e9rit\u00e9 de CVE-2023-5129 ?<\/h2>\n
\n
Quelles sont les applications concern\u00e9es par CVE-2023-5129 ?<\/h2>\n
\n
Quelles sont les applications pour lesquelles des correctifs pour CVE-2023-5129 sont disponibles ?<\/h2>\n
\n
Que peuvent faire les administrateurs pour prot\u00e9ger leurs r\u00e9seaux ?<\/h2>\n
Comment identifier les applications vuln\u00e9rables \u00e0 l’aide de NinjaOne ?<\/h2>\n