La faille est critique et déjà exploitée par des pirates. Tous les détails ne sont pas encore connus (le temps que les mises à jour soient installées afin d’éviter d’aggraver la situation). WebP est pour rappel un format d’image développé par Google.
Nous savons seulement que « l'ouverture d'une image WebP malveillante pourrait entraîner un débordement de tampon »… ce qui pourrait laisser à un pirate l’accès à votre machine. La brèche a été identifiée par l’Apple Security Engineering and Architecture (SEAR) et le Citizen Lab de l’université de Toronto.
Chromium a été mis à jour, entrainant dans sa foulée Chrome, Edge et Brave. Mozilla a aussi poussé des mises à jour pour Firefox. Selon Stackdiary, la mise à jour d’Apple d’il y a quelques jours (sur ImageIO) pourrait aussi corriger ce problème.
Bien d’autres produits en dehors des navigateurs pourraient être concernés, pensez à vérifier ce qu’il en est.
Commentaires (30)
#1
Ce serait directement la lib webp du coup si j’en juge par ce changelog : https://chromium.googlesource.com/webm/libwebp/+/refs/tags/v1.3.2
Donc en fait tout produit/software qui l’utiliserait, la compterait comme une dépendance ou embarquerait son code.
#2
Vivaldi aussi sur la dernière révision de la 6.2.
#3
Y’a moyen de savoir si la MAJ est déjà appliqué sur un PC ?
Une version de navigateur à contrôler ?
#3.1
Les liens dans l’article pointent vers les pages d’informations de chaque navigateur.
Exemple pour Chrome :
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html
Où il est précisé 116.0.5845.187/.188 for Windows
Ce matin, j’ai carrément eu le droit à la version 117.0.5938.63 (Build officiel) (64 bits)
Cela correspond bien à la mise à jour présentée (117.0.5938.62/.63( Windows)) :
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_12.html
#3.2
Ok, merci.
J’avais pas été voir les infos CVE, et je pensais pas que le num de version du nav serait dedans …
Du coup, je suis à jour, merci 👍
#3.3
117.0.1 à voir dans menu/aide/ a propos de firefox
#4
Il est bon de le rappeler, tant ce format est populaire.
#4.1
Je ne sais pas si c’était ironique, pour ma part je hais ce format, impossible à convertir à la sauvegarde.
#4.2
Il existe des plug-ins navigateurs comme celui-ci qui convertissent les .webp en .jpg ou .png à l’enregistrement de manière transparente.
#5
Je ne vois pas de mise à jour sur Android pour Chrome ou Firefox…
#5.1
J’ai bien eu la maj de Firefox pour Android hier : la 117.0.1
#6
#7
mmm j’ai une extension webp pour Windows installée, va falloir que je regarde si y’a une maj pour ça aussi du coup, je suppose …
#7.1
Je me suis posé la question mais n’ait pas encore eu le temps de chercher. Peut-être que l’implémentation y est différente et donc non, mais pour l’instant je suis nu.
#8
du coup, potentiellement, tous les outils qui permettent de lire / d’écrire des images dans ce format. Les navigateurs sont la cible principale, mais ça ne se limite pas à ça…
#9
XnConvert / XnView / XnViewMP gèrent la conversion dans les 2 sens ;-)
#10
“Apple Security Engineering and Architecture (SEAR)”
C’est beau les acronymes qui ne correspondent pas à l’énoncé.
Google ne m’a pas aidé à résoudre cette énigme.
#10.1
Je dirais Security Engineering and ARchitecture : SEAR
#11
Mais, mais il existe autre chose que JPEG/PNG??
#11.1
Oui, JPEG-XL.
#12
Bitmap
#12.1
Art ASCII
#13
L’intégralité des clients de Free a visiblement d’autres soucis possibles!
#14
Antiope Teletext
#15
Sur cette page il y a 28 images: 3 gif, 5 png, 20 jpg.
webp ne semble pas populaire sur NextInpact.
#15.1
Je crois que le webp est arrivé sur safari il y a un peu plus d’un an, avant ça ce n’était pas très utile d’y réfléchir.
#16
c’est souvent les cdn qui compressent l’image en webp à la volée.
#17
5 gif seulement ?! Tout les émojis de NI sont des gif 😉
#18
Un point bonus pour toi!
Bon j’avoue que j’avais oublier le gif au fond de ma caverne
#19
Question, est ce que Wahtsapp est concernée par ce genre de faille ?