Connexion
Abonnez-vous

Chrome, Edge, Firefox, Brave : les navigateurs se mettent à jour suite à une faille 0-day dans WebP

Chrome, Edge, Firefox, Brave : les navigateurs se mettent à jour suite à une faille 0-day dans WebP

Le 14 septembre 2023 à 05h15

La faille est critique et déjà exploitée par des pirates. Tous les détails ne sont pas encore connus (le temps que les mises à jour soient installées afin d’éviter d’aggraver la situation). WebP est pour rappel un format d’image développé par Google.

Nous savons seulement que « l'ouverture d'une image WebP malveillante pourrait entraîner un débordement de tampon »… ce qui pourrait laisser à un pirate l’accès à votre machine. La brèche a été identifiée par l’Apple Security Engineering and Architecture (SEAR) et le Citizen Lab de l’université de Toronto.

Chromium a été mis à jour, entrainant dans sa foulée Chrome, Edge et Brave. Mozilla a aussi poussé des mises à jour pour Firefox. Selon Stackdiary, la mise à jour d’Apple d’il y a quelques jours (sur ImageIO) pourrait aussi corriger ce problème. 

Bien d’autres produits en dehors des navigateurs pourraient être concernés, pensez à vérifier ce qu’il en est. 

Le 14 septembre 2023 à 05h15

Commentaires (30)

votre avatar

Ce serait directement la lib webp du coup si j’en juge par ce changelog : https://chromium.googlesource.com/webm/libwebp/+/refs/tags/v1.3.2



Donc en fait tout produit/software qui l’utiliserait, la compterait comme une dépendance ou embarquerait son code.

votre avatar

Vivaldi aussi sur la dernière révision de la 6.2.

votre avatar

Y’a moyen de savoir si la MAJ est déjà appliqué sur un PC ?
Une version de navigateur à contrôler ?

votre avatar

Les liens dans l’article pointent vers les pages d’informations de chaque navigateur.
Exemple pour Chrome :
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html
Où il est précisé 116.0.5845.187/.188 for Windows



Ce matin, j’ai carrément eu le droit à la version 117.0.5938.63 (Build officiel) (64 bits)
Cela correspond bien à la mise à jour présentée (117.0.5938.62/.63( Windows)) :
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_12.html

votre avatar

Ok, merci.
J’avais pas été voir les infos CVE, et je pensais pas que le num de version du nav serait dedans …



Du coup, je suis à jour, merci 👍

votre avatar

117.0.1 à voir dans menu/aide/ a propos de firefox

votre avatar

WebP est pour rappel un format d’image développé par Google.


Il est bon de le rappeler, tant ce format est populaire. :D

votre avatar

Je ne sais pas si c’était ironique, pour ma part je hais ce format, impossible à convertir à la sauvegarde.

votre avatar

Il existe des plug-ins navigateurs comme celui-ci qui convertissent les .webp en .jpg ou .png à l’enregistrement de manière transparente.

votre avatar

Je ne vois pas de mise à jour sur Android pour Chrome ou Firefox…

votre avatar

J’ai bien eu la maj de Firefox pour Android hier : la 117.0.1

votre avatar

SebGF a dit:


Vivaldi aussi sur la dernière révision de la 6.2.


:yes:

votre avatar

mmm j’ai une extension webp pour Windows installée, va falloir que je regarde si y’a une maj pour ça aussi du coup, je suppose …

votre avatar

Je me suis posé la question mais n’ait pas encore eu le temps de chercher. Peut-être que l’implémentation y est différente et donc non, mais pour l’instant je suis nu.

votre avatar

(reply:2152690:Frédérick L.)


du coup, potentiellement, tous les outils qui permettent de lire / d’écrire des images dans ce format. Les navigateurs sont la cible principale, mais ça ne se limite pas à ça…

votre avatar

dematbreizh a dit:


Je ne sais pas si c’était ironique, pour ma part je hais ce format, impossible à convertir à la sauvegarde.


XnConvert / XnView / XnViewMP gèrent la conversion dans les 2 sens ;-)

votre avatar

“Apple Security Engineering and Architecture (SEAR)”
C’est beau les acronymes qui ne correspondent pas à l’énoncé. :transpi:
Google ne m’a pas aidé à résoudre cette énigme.

votre avatar

Je dirais Security Engineering and ARchitecture : SEAR

votre avatar

Mais, mais il existe autre chose que JPEG/PNG?? :troll:

votre avatar

Oui, JPEG-XL. :transpi:

votre avatar

SKN a dit:


Mais, mais il existe autre chose que JPEG/PNG?? :troll:


Bitmap :ouioui:

votre avatar

Art ASCII

votre avatar

L’intégralité des clients de Free a visiblement d’autres soucis possibles! :bravo:

votre avatar

SKN a dit:


Mais, mais il existe autre chose que JPEG/PNG?? :troll:


Antiope Teletext

votre avatar

SKN a dit:


Mais, mais il existe autre chose que JPEG/PNG?? :troll:


Sur cette page il y a 28 images: 3 gif, 5 png, 20 jpg.



webp ne semble pas populaire sur NextInpact.

votre avatar

Je crois que le webp est arrivé sur safari il y a un peu plus d’un an, avant ça ce n’était pas très utile d’y réfléchir.

votre avatar

(quote:2152819:127.0.0.1)
Sur cette page il y a 28 images: 3 gif, 5 png, 20 jpg.



webp ne semble pas populaire sur NextInpact.


c’est souvent les cdn qui compressent l’image en webp à la volée.

votre avatar

(quote:2152819:127.0.0.1)
Sur cette page il y a 28 images: 3 gif, 5 png, 20 jpg.



webp ne semble pas populaire sur NextInpact.


5 gif seulement :eeek2: ?! Tout les émojis de NI sont des gif 😉 :cap: :rtfm: :francais: :inpactitude2: :smack:

votre avatar

(reply:2152793:De Compet)


Un point bonus pour toi! :dix: :yes:



Bon j’avoue que j’avais oublier le gif au fond de ma caverne :transpi:

votre avatar

Question, est ce que Wahtsapp est concernée par ce genre de faille ?

Chrome, Edge, Firefox, Brave : les navigateurs se mettent à jour suite à une faille 0-day dans WebP

Fermer