Alerte vulnérabilité majeure: Google accorde un CVE maximum à la vulnérabilité exploitée de libwebp

Google a attribué un nouvel identifiant CVE (CVE-2023-5129) à une vulnérabilité de sécurité de libwebp exploitée comme un zéro-day dans les attaques et corrigée il y a deux semaines. La société a initialement divulgué la faille comme une faiblesse de Chrome, identifiée comme CVE-2023-4863 , plutôt que de l'attribuer à la bibliothèque open source libwebp utilisée pour encoder et décoder les images au format WebP. Ce bug zero-day a été signalé conjointement par Apple Security Engineering and Architecture (SEAR) et le Citizen Lab de la Munk School de l'Université de Toronto le mercredi 6 septembre, et corrigé par Google moins d'une semaine plus tard.

Les chercheurs en sécurité du Citizen Lab ont fait leurs preuves en matière de détection et de révélation des failles Zero Day qui ont été exploitées dans le cadre de campagnes ciblées de logiciels espions, souvent liées à des acteurs de menace parrainés par l'État, ciblant principalement des individus à haut risque tels que des journalistes et des politiciens de l'opposition. La décision de le qualifier de bug de Chrome a semé la confusion au sein de la communauté de la cybersécurité, suscitant des questions quant au choix de Google de le classer comme un problème de Google Chrome plutôt que de l'identifier comme une faille dans libwebp. Le fondateur de la société de conseil en sécurité, Ben Hawkes (qui dirigeait auparavant l'équipe Project Zero de Google) a également lié CVE-2023-4863 à la vulnérabilité CVE-2023-41064 corrigée par Apple le 7 septembre et utilisée de manière abusive dans le cadre d'une chaîne d'exploitation iMessage sans clic ( appelée BLASTPASS ) pour infecter les iPhones entièrement corrigés avec le logiciel espion commercial Pegasus de NSO Group

Par ailleurs, il a désormais attribué un autre ID CVE, CVE-2023-5129, le marquant comme un problème critique dans libwebp avec un indice de gravité maximum de 10/10. Ce changement a des implications significatives pour d'autres projets utilisant la bibliothèque open source libwebp. Désormais officiellement reconnue comme une faille de libwebp, elle implique un débordement de tampon dans WebP, impactant les versions de Google Chrome antérieures à 116.0.5845.187.

Cette vulnérabilité réside dans l'algorithme de codage de Huffman utilisé par libwebp pour la compression sans perte et permet aux attaquants d'exécuter des écritures de mémoire hors limites à l'aide de pages HTML conçues de manière malveillante. Ce type d'exploit peut avoir de graves conséquences, allant des plantages à l'exécution de code arbitraire et à l'accès non autorisé à des informations sensibles.

Source: BleepingComputer