Chrome, Edge, Firefox, Brave : les navigateurs se mettent à jour suite à une faille 0-day dans WebP
Le 14 septembre 2023 à 05h15
1 min
Logiciel
Logiciel
La faille est critique et déjà exploitée par des pirates. Tous les détails ne sont pas encore connus (le temps que les mises à jour soient installées afin d’éviter d’aggraver la situation). WebP est pour rappel un format d’image développé par Google.
Nous savons seulement que « l'ouverture d'une image WebP malveillante pourrait entraîner un débordement de tampon »… ce qui pourrait laisser à un pirate l’accès à votre machine. La brèche a été identifiée par l’Apple Security Engineering and Architecture (SEAR) et le Citizen Lab de l’université de Toronto.
Chromium a été mis à jour, entrainant dans sa foulée Chrome, Edge et Brave. Mozilla a aussi poussé des mises à jour pour Firefox. Selon Stackdiary, la mise à jour d’Apple d’il y a quelques jours (sur ImageIO) pourrait aussi corriger ce problème.
Bien d’autres produits en dehors des navigateurs pourraient être concernés, pensez à vérifier ce qu’il en est.
Le 14 septembre 2023 à 05h15
Commentaires (30)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 14/09/2023 à 06h15
Ce serait directement la lib webp du coup si j’en juge par ce changelog : https://chromium.googlesource.com/webm/libwebp/+/refs/tags/v1.3.2
Donc en fait tout produit/software qui l’utiliserait, la compterait comme une dépendance ou embarquerait son code.
Le 14/09/2023 à 06h17
Vivaldi aussi sur la dernière révision de la 6.2.
Le 14/09/2023 à 07h05
Y’a moyen de savoir si la MAJ est déjà appliqué sur un PC ?
Une version de navigateur à contrôler ?
Le 14/09/2023 à 07h34
Les liens dans l’article pointent vers les pages d’informations de chaque navigateur.
Exemple pour Chrome :
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html
Où il est précisé 116.0.5845.187/.188 for Windows
Ce matin, j’ai carrément eu le droit à la version 117.0.5938.63 (Build officiel) (64 bits)
Cela correspond bien à la mise à jour présentée (117.0.5938.62/.63( Windows)) :
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_12.html
Le 14/09/2023 à 08h05
Ok, merci.
J’avais pas été voir les infos CVE, et je pensais pas que le num de version du nav serait dedans …
Du coup, je suis à jour, merci 👍
Le 14/09/2023 à 09h51
117.0.1 à voir dans menu/aide/ a propos de firefox
Le 14/09/2023 à 07h08
Il est bon de le rappeler, tant ce format est populaire.
Le 14/09/2023 à 08h31
Je ne sais pas si c’était ironique, pour ma part je hais ce format, impossible à convertir à la sauvegarde.
Le 15/09/2023 à 22h39
Il existe des plug-ins navigateurs comme celui-ci qui convertissent les .webp en .jpg ou .png à l’enregistrement de manière transparente.
Le 14/09/2023 à 07h43
Je ne vois pas de mise à jour sur Android pour Chrome ou Firefox…
Le 14/09/2023 à 19h05
J’ai bien eu la maj de Firefox pour Android hier : la 117.0.1
Le 14/09/2023 à 07h51
Le 14/09/2023 à 08h11
mmm j’ai une extension webp pour Windows installée, va falloir que je regarde si y’a une maj pour ça aussi du coup, je suppose …
Le 14/09/2023 à 08h17
Je me suis posé la question mais n’ait pas encore eu le temps de chercher. Peut-être que l’implémentation y est différente et donc non, mais pour l’instant je suis nu.
Le 14/09/2023 à 08h17
du coup, potentiellement, tous les outils qui permettent de lire / d’écrire des images dans ce format. Les navigateurs sont la cible principale, mais ça ne se limite pas à ça…
Le 14/09/2023 à 08h40
XnConvert / XnView / XnViewMP gèrent la conversion dans les 2 sens ;-)
Le 14/09/2023 à 09h33
“Apple Security Engineering and Architecture (SEAR)”
C’est beau les acronymes qui ne correspondent pas à l’énoncé.
Google ne m’a pas aidé à résoudre cette énigme.
Le 14/09/2023 à 13h53
Je dirais Security Engineering and ARchitecture : SEAR
Le 14/09/2023 à 09h55
Mais, mais il existe autre chose que JPEG/PNG??
Le 14/09/2023 à 10h45
Oui, JPEG-XL.
Le 14/09/2023 à 10h49
Bitmap
Le 14/09/2023 à 11h28
Art ASCII
Le 14/09/2023 à 11h04
L’intégralité des clients de Free a visiblement d’autres soucis possibles!
Le 14/09/2023 à 12h03
Antiope Teletext
Le 14/09/2023 à 12h31
Sur cette page il y a 28 images: 3 gif, 5 png, 20 jpg.
webp ne semble pas populaire sur NextInpact.
Le 14/09/2023 à 14h33
Je crois que le webp est arrivé sur safari il y a un peu plus d’un an, avant ça ce n’était pas très utile d’y réfléchir.
Le 14/09/2023 à 12h57
c’est souvent les cdn qui compressent l’image en webp à la volée.
Le 14/09/2023 à 13h09
5 gif seulement
?! Tout les émojis de NI sont des gif 😉 
Le 15/09/2023 à 09h33
Un point bonus pour toi!
Bon j’avoue que j’avais oublier le gif au fond de ma caverne
Le 18/09/2023 à 08h09
Question, est ce que Wahtsapp est concernée par ce genre de faille ?