La mise à jour d'urgence de Chrome corrige une vulnérabilité critique de WebP

Il y a un peu plus de 24 heures, Google a déployé une mise à jour pour Chrome, corrigeant spécifiquement la vulnérabilité critique CVE-2023-4863 au format d'image WebP. Cette vulnérabilité avait été signalée par des experts du Citizen Lab de l'Université de Toronto. La mise à jour s'applique à la fois aux branches stables et étendues, avec les versions 116.0.5845.187 disponibles pour Mac et Linux, et 116.0.5845.187/.188 pour Windows. Notamment, les cybercriminels ont déjà exploité cette vulnérabilité.

CVE-2023-4863 est une vulnérabilité de dépassement de tampon trouvée dans WebP, un format d'image développé par Google. Ce format, largement utilisé pour la compression d'images de haute qualité sur Internet, est malheureusement devenu la cible d'attaquants qui ont découvert et exploité cette vulnérabilité dans un format ouvert.

L’attaque repose sur la technique du buffer overflow, qui peut conduire à l’exécution de code malveillant. Un problème similaire lié à WebP a récemment été résolu par les ingénieurs Apple. L'exploit découvert par Citizen Lab a été nommé BLASTPASS. Ce qui le rend particulièrement préoccupant, c'est qu'il ne nécessite aucune interaction de l'utilisateur pour que le logiciel espion Pegasus soit téléchargé après avoir rencontré une image malveillante.

WebP est pris en charge par de nombreux navigateurs basés sur Chromium comme Edge, Opera et Vivaldi, ainsi que par divers programmes d'édition d'images. Google, dans un effort pour protéger les utilisateurs, a choisi de ne pas divulguer tous les détails de la vulnérabilité jusqu'à ce qu'une partie substantielle des utilisateurs de Chrome ait mis à jour leur navigateur. S'il est déterminé que la vulnérabilité affecte également la bibliothèque WebP utilisée dans d'autres projets, les informations la concernant seront conservées secrètes pendant une certaine période.

Vous trouverez le mot officiel de Google ici.