Chrome, Edge, Firefox, Brave : les navigateurs se mettent à jour suite à une faille 0-day dans WebP
Le 14 septembre 2023 à 05h15
1 min
Logiciel
Logiciel
La faille est critique et déjà exploitée par des pirates. Tous les détails ne sont pas encore connus (le temps que les mises à jour soient installées afin d’éviter d’aggraver la situation). WebP est pour rappel un format d’image développé par Google.
Nous savons seulement que « l'ouverture d'une image WebP malveillante pourrait entraîner un débordement de tampon »… ce qui pourrait laisser à un pirate l’accès à votre machine. La brèche a été identifiée par l’Apple Security Engineering and Architecture (SEAR) et le Citizen Lab de l’université de Toronto.
Chromium a été mis à jour, entrainant dans sa foulée Chrome, Edge et Brave. Mozilla a aussi poussé des mises à jour pour Firefox. Selon Stackdiary, la mise à jour d’Apple d’il y a quelques jours (sur ImageIO) pourrait aussi corriger ce problème.
Bien d’autres produits en dehors des navigateurs pourraient être concernés, pensez à vérifier ce qu’il en est.
Le 14 septembre 2023 à 05h15
Commentaires (30)
Le 14/09/2023 à 06h15
Ce serait directement la lib webp du coup si j’en juge par ce changelog : https://chromium.googlesource.com/webm/libwebp/+/refs/tags/v1.3.2
Donc en fait tout produit/software qui l’utiliserait, la compterait comme une dépendance ou embarquerait son code.
Le 14/09/2023 à 06h17
Vivaldi aussi sur la dernière révision de la 6.2.
Le 14/09/2023 à 07h05
Y’a moyen de savoir si la MAJ est déjà appliqué sur un PC ?
Une version de navigateur à contrôler ?
Le 14/09/2023 à 07h34
Les liens dans l’article pointent vers les pages d’informations de chaque navigateur.
Exemple pour Chrome :
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html
Où il est précisé 116.0.5845.187/.188 for Windows
Ce matin, j’ai carrément eu le droit à la version 117.0.5938.63 (Build officiel) (64 bits)
Cela correspond bien à la mise à jour présentée (117.0.5938.62/.63( Windows)) :
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_12.html
Le 14/09/2023 à 08h05
Ok, merci.
J’avais pas été voir les infos CVE, et je pensais pas que le num de version du nav serait dedans …
Du coup, je suis à jour, merci 👍
Le 14/09/2023 à 09h51
117.0.1 à voir dans menu/aide/ a propos de firefox
Le 14/09/2023 à 07h08
Il est bon de le rappeler, tant ce format est populaire.
Le 14/09/2023 à 08h31
Je ne sais pas si c’était ironique, pour ma part je hais ce format, impossible à convertir à la sauvegarde.
Le 15/09/2023 à 22h39
Il existe des plug-ins navigateurs comme celui-ci qui convertissent les .webp en .jpg ou .png à l’enregistrement de manière transparente.
Le 14/09/2023 à 07h43
Je ne vois pas de mise à jour sur Android pour Chrome ou Firefox…
Le 14/09/2023 à 19h05
J’ai bien eu la maj de Firefox pour Android hier : la 117.0.1
Le 14/09/2023 à 07h51
Le 14/09/2023 à 08h11
mmm j’ai une extension webp pour Windows installée, va falloir que je regarde si y’a une maj pour ça aussi du coup, je suppose …
Le 14/09/2023 à 08h17
Je me suis posé la question mais n’ait pas encore eu le temps de chercher. Peut-être que l’implémentation y est différente et donc non, mais pour l’instant je suis nu.
Le 14/09/2023 à 08h17
du coup, potentiellement, tous les outils qui permettent de lire / d’écrire des images dans ce format. Les navigateurs sont la cible principale, mais ça ne se limite pas à ça…
Le 14/09/2023 à 08h40
XnConvert / XnView / XnViewMP gèrent la conversion dans les 2 sens ;-)
Le 14/09/2023 à 09h33
“Apple Security Engineering and Architecture (SEAR)”
C’est beau les acronymes qui ne correspondent pas à l’énoncé.
Google ne m’a pas aidé à résoudre cette énigme.
Le 14/09/2023 à 13h53
Je dirais Security Engineering and ARchitecture : SEAR
Le 14/09/2023 à 09h55
Mais, mais il existe autre chose que JPEG/PNG??
Le 14/09/2023 à 10h45
Oui, JPEG-XL.
Le 14/09/2023 à 10h49
Bitmap
Le 14/09/2023 à 11h28
Art ASCII
Le 14/09/2023 à 11h04
L’intégralité des clients de Free a visiblement d’autres soucis possibles!
Le 14/09/2023 à 12h03
Antiope Teletext
Le 14/09/2023 à 12h31
Sur cette page il y a 28 images: 3 gif, 5 png, 20 jpg.
webp ne semble pas populaire sur NextInpact.
Le 14/09/2023 à 14h33
Je crois que le webp est arrivé sur safari il y a un peu plus d’un an, avant ça ce n’était pas très utile d’y réfléchir.
Le 14/09/2023 à 12h57
c’est souvent les cdn qui compressent l’image en webp à la volée.
Le 14/09/2023 à 13h09
5 gif seulement ?! Tout les émojis de NI sont des gif 😉
Le 15/09/2023 à 09h33
Un point bonus pour toi!
Bon j’avoue que j’avais oublier le gif au fond de ma caverne
Le 18/09/2023 à 08h09
Question, est ce que Wahtsapp est concernée par ce genre de faille ?