[Mise à jour du 29 septembre 2023]
Le 27 septembre 2023, Google a annulé l'identifiant CVE-2023-5129 et modifié la description de la vulnérabilité CVE-2023-4863 pour mentionner la version corrigée de libwebp, 1.3.2.
[Publication initiale]
La bibliothèque libwebp a été créée par Google en 2010 pour le traitement d'images au format WebP.
Le 11 septembre 2023, Google a publié un avis de sécurité Chrome [1] concernant la vulnérabilité CVE-2023-4863 permettant un débordement de tampon dans le tas et débouchant sur une exécution de code arbitraire à distance. L'éditeur a également précisé que cette vulnérabilité est activement exploitée.
La bibliothèque libwebp est utilisée dans de nombreux produits. Plusieurs éditeurs ont d'ores et déjà proposé des correctifs de sécurité : Mozilla [2], Microsoft [3], etc. [4]
Toutefois, la description de la vulnérabilité CVE-2023-4863 ne concerne que Chrome. Un autre identifiant, CVE-2023-5129, a été réservé par Google [5]. Celui-ci concerne plus spécifiquement la source de la vulnérabilité située dans la fonction d'implémentation de l'encodage de Huffman de libwebp. Son score CVSSv3 est de 10.
Tous les avis de sécurité mentionnés dans la section Documentation référencent les correctifs déjà disponibles. Cependant, cette liste n'est pas exhaustive et toutes les applications utilisant une bibliothèque libwebp non mise à jour doivent être considérées comme vulnérables.
Le CERT-FR recommande fortement :
- aux utilisateurs d'applications ou de logiciels sur étagère manipulant des images au format WebP de prendre contact avec le développeur ou l'éditeur pour vérifier s'ils sont exposés à cette vulnérabilité et si un correctif est disponible;
- aux développeurs/éditeurs d'inventorier les solutions affectées par les vulnérabilités, de les corriger et de fournir une nouvelle version dans les plus brefs délais.
Documentation
- [1] Bulletin de sécurité Google Chrome du 11 septembre 2023 https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html
- Avis CERT-FR CERTFR-2023-AVI-0730 du 12 septembre 2023 /avis/CERTFR-2023-AVI-0730/
- Bulletin de sécurité Google Chrome du 12 septembre 2023 https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_12.html
- Avis CERT-FR CERTFR-2023-AVI-0735 du 13 septembre 2023 /avis/CERTFR-2023-AVI-0735/
- [2] Bulletin de sécurité Mozilla mfsa2023-40 du 12 septembre 2023 https://www.mozilla.org/en-US/security/advisories/mfsa2023-40/
- Avis CERT-FR CERTFR-2023-AVI-0734 du 13 septembre 2023 /avis/CERTFR-2023-AVI-0734/
- [3] Bulletin de sécurité Microsoft CVE-2023-4863 du 12 septembre 2023 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-4863
- Avis CERT-FR CERTFR-2023-AVI-0738 du 13 septembre 2023 /avis/CERTFR-2023-AVI-0738/
- [4] Avis de sécurité NVD CVE-2023-4863 du 12 septembre 2023 https://nvd.nist.gov/vuln/detail/CVE-2023-4863
- [5] Avis de sécurité NVD CVE-2023-5129 du 25 septembre 2023 https://nvd.nist.gov/vuln/detail/CVE-2023-5129
- Référence CVE CVE-2023-4863 https://www.cve.org/CVERecord?id=CVE-2023-4863
- Référence CVE CVE-2023-5129 https://www.cve.org/CVERecord?id=CVE-2023-5129