Cybersécurité

Google corrige une vulnérabilité critique dans libwebp affectant de nombreux projets

Recevez votre audit gratuit
Google corrige la CVE-2023-5129
Découvrez les détails techniques de la vulnérabilité CVE-2023-5129 dans la bibliothèque libwebp de Google, son impact sur divers projets et les mesures de sécurité recommandées.

Introduction

Google a récemment attribué un nouvel identifiant CVE, CVE-2023-5129, à une vulnérabilité de sécurité critique dans la bibliothèque open-source libwebp. Cette vulnérabilité avait été initialement signalée comme une faiblesse dans Chrome, sous l’identifiant CVE-2023-4863. Ce changement a des implications majeures pour de nombreux projets utilisant libwebp, y compris des navigateurs et des applications populaires.

Concerné par la sécurité de votre navigateur?

Contactez notre équipe pour des conseils d'experts sur la sécurisation de vos systèmes.

Parlez à nos spécialistes en cybersécurité

Détails techniques de la vulnérabilité CVE-2023-5129

La vulnérabilité résidait dans l’algorithme de codage Huffman utilisé par libwebp pour la compression sans perte. Elle permettait aux attaquants d’exécuter des écritures mémoire hors limites à l’aide de pages HTML malveillantes. Ce type d’exploit peut avoir des conséquences graves, allant des plantages à l’exécution de code arbitraire et à l’accès non autorisé à des informations sensibles.

La vulnérabilité affecte les versions de Google Chrome antérieures à la 116.0.5845.187. Elle a été initialement signalée conjointement par Apple Security Engineering and Architecture (SEAR) et le Citizen Lab de l’Université de Toronto le 6 septembre et corrigée par Google moins d’une semaine plus tard.

Implications pour d’autres projets

La reclassification de cette vulnérabilité comme un défaut dans libwebp est particulièrement importante car elle était initialement passée inaperçue comme une menace potentielle pour de nombreux projets utilisant libwebp. Cela inclut 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera et les navigateurs web natifs Android.

Mesures de sécurité recommandées

Il est crucial de mettre à jour tous les systèmes et applications utilisant la bibliothèque libwebp. Pour plus de détails sur comment se protéger contre ce type de vulnérabilités, vous pouvez consulter notre article sur les mises à jour logicielles pour la protection de l’entreprise.

Conclusion

La découverte et la correction de cette vulnérabilité mettent en évidence l’importance de suivre les meilleures pratiques de sécurité, y compris la mise à jour régulière des logiciels et des bibliothèques que vous utilisez. Pour plus d’informations sur les vulnérabilités zero-day et leur impact, vous pouvez lire notre article précédent sur le bug zero-day de Chrome corrigé en septembre 2023.

FAQ

Qu'est-ce que la vulnérabilité CVE-2023-5129 dans libwebp ?

Il s'agit d'une vulnérabilité de sécurité critique dans la bibliothèque open-source libwebp de Google. Elle permet aux attaquants d'exécuter des écritures mémoire hors limites, ce qui peut entraîner des plantages, l'exécution de code arbitraire et l'accès non autorisé à des informations sensibles.

Quels projets sont affectés par la vulnérabilité CVE-2023-5129 ?

De nombreux projets qui utilisent la bibliothèque libwebp sont affectés, y compris des navigateurs populaires comme Google Chrome, Mozilla Firefox, Microsoft Edge, et des applications comme 1Password et Signal.

Comment la vulnérabilité CVE-2023-5129 a-t-elle été découverte ?

La vulnérabilité a été initialement signalée par Apple Security Engineering and Architecture (SEAR) et le Citizen Lab de l'Université de Toronto.

Quelles sont les mesures de sécurité recommandées pour se protéger contre la vulnérabilité CVE-2023-5129 ?

Il est crucial de mettre à jour tous les systèmes et applications utilisant la bibliothèque libwebp. Pour plus de détails, vous pouvez consulter notre article sur les [mises à jour logicielles pour la protection de l'entreprise.](/blog/mises-a-jour-logicielles-protection-entreprise)

Reprenez le contrôle de votre parc informatique dès aujourd’hui