Une faille de sécurité critique récemment découverte et activement exploitée met en danger des millions d’internautes. La vulnérabilité, identifiée comme CVE-2023-4863, affecte certains des meilleurs navigateurs Web, notamment Google Chrome, Mozilla Firefox et Microsoft Edge, ainsi que d’autres applications comme Telegram, Signal et 1Password. Il permet aux attaquants de prendre le contrôle d’un système à distance et de lancer une attaque plus dévastatrice.
Cette faille de sécurité est causée par une vulnérabilité de dépassement de tampon du tas. Il s’agit d’un type de problème de sécurité dans lequel un programme/une application ne gère pas bien la mémoire et permet d’écraser des données système importantes. Si un attaquant sait qu’un programme présente cette vulnérabilité, il peut l’exploiter pour remplacer les données du système par des données malveillantes spécialement conçues qui lui permettent d’obtenir un accès non autorisé au système et de voler des informations critiques ou de causer d’autres formes de dommages.
Dans ce cas, la vulnérabilité existe dans le codec WebP (libwebp). WebP est un format d’image moderne développé par Google avec des capacités de compression efficaces. C’est l’un des formats d’image les plus utilisés sur Internet. « Si ce codec présente un débordement de tampon, un attaquant pourrait créer une image WebP malveillante qui, une fois visualisée, exploite cette vulnérabilité pour endommager votre ordinateur ou voler des informations », explique Alex Ivanovs de Stack Diary.
Les attaquants exploitent activement cette faille de sécurité critique
Ivanovs a fourni ici une explication technique détaillée du problème. Il a noté qu’il s’agit d’une menace de sécurité massive car elle implique le format d’image WebP. Pour aggraver les choses, la vulnérabilité a été faussement marquée comme « Chrome uniquement » par certaines organisations. Cela a conduit à une désinformation et à des risques de sécurité encore plus graves. En réalité, le problème existe sur chaque logiciel ou application qui utilise libwebp pour restituer des images WebP.
Outre les applications susmentionnées, cette vulnérabilité affecte également Affinity, Gimp, Inkscape, LibreOffice, Thunderbird, ffmpeg, Honeyview et « de très nombreuses applications Android ainsi que des applications multiplateformes créées avec Flutter », déclare Ivanovs. Il a ajouté que l’équipe Apple Security Engineering and Architecture (SEAR) a découvert et signalé la vulnérabilité en collaboration avec le Citizen Lab de la Munk School de l’Université de Toronto le 6 septembre 2023.
Google a déjà confirmé l’existence d’un exploit pour la vulnérabilité dans la nature. Cela souligne l’urgence de la situation. Si vous utilisez l’une des applications mentionnées dans cet article, vous devez immédiatement la mettre à jour vers la dernière version. Il est toujours conseillé de maintenir les applications à jour. Cela réduit le risque d’exploitation de la sécurité et maintient votre appareil plus sécurisé.
