S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 27 septembre 2023
N° CERTFR-2023-ACT-042
Affaire suivie par: CERT-FR
le 27 septembre 2023

Bulletin d'actualité du CERT-FR

Objet: Vulnérabilité dans libwebp

Gestion du document

Référence CERTFR-2023-ACT-042
Titre Vulnérabilité dans libwebp
Date de la première version 27 septembre 2023
Date de la dernière version 29 septembre 2023
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

[Mise à jour du 29 septembre 2023]

Le 27 septembre 2023, Google a annulé l’identifiant CVE-2023-5129 et modifié la description de la vulnérabilité CVE-2023-4863 pour mentionner la version corrigée de libwebp, 1.3.2.

[Publication initiale]

La bibliothèque libwebp a été créée par Google en 2010 pour le traitement d’images au format WebP.

Le 11 septembre 2023, Google a publié un avis de sécurité Chrome [1] concernant la vulnérabilité CVE-2023-4863 permettant un débordement de tampon dans le tas et débouchant sur une exécution de code arbitraire à distance. L’éditeur a également précisé que cette vulnérabilité est activement exploitée.

La bibliothèque libwebp est utilisée dans de nombreux produits. Plusieurs éditeurs ont d’ores et déjà proposé des correctifs de sécurité : Mozilla [2], Microsoft [3], etc. [4]

Toutefois, la description de la vulnérabilité CVE-2023-4863 ne concerne que Chrome. Un autre identifiant, CVE-2023-5129, a été réservé par Google [5]. Celui-ci concerne plus spécifiquement la source de la vulnérabilité située dans la fonction d’implémentation de l’encodage de Huffman de libwebp. Son score CVSSv3 est de 10.

Tous les avis de sécurité mentionnés dans la section Documentation référencent les correctifs déjà disponibles. Cependant, cette liste n’est pas exhaustive et toutes les applications utilisant une bibliothèque libwebp non mise à jour doivent être considérées comme vulnérables.

Le CERT-FR recommande fortement :

  • aux utilisateurs d’applications ou de logiciels sur étagère manipulant des images au format WebP de prendre contact avec le développeur ou l’éditeur pour vérifier s’ils sont exposés à cette vulnérabilité et si un correctif est disponible;
  • aux développeurs/éditeurs d’inventorier les solutions affectées par les vulnérabilités, de les corriger et de fournir une nouvelle version dans les plus brefs délais.

Ce bulletin est susceptible d’être mis à jour en fonction de l’évolution de la situation.

Documentation

Rappel des avis émis

Dans la période du 18 au 24 septembre 2023, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 27 septembre 2023
    Version initiale
    le 29 septembre 2023
    Modification du titre et mention de l'annulation de l'identifiant CVE-2023-5129.