[Mise à jour du 29 septembre 2023]
Le 27 septembre 2023, Google a annulé l’identifiant CVE-2023-5129 et modifié la description de la vulnérabilité CVE-2023-4863 pour mentionner la version corrigée de libwebp, 1.3.2.
[Publication initiale]
La bibliothèque libwebp a été créée par Google en 2010 pour le traitement d’images au format WebP.
Le 11 septembre 2023, Google a publié un avis de sécurité Chrome [1] concernant la vulnérabilité CVE-2023-4863 permettant un débordement de tampon dans le tas et débouchant sur une exécution de code arbitraire à distance. L’éditeur a également précisé que cette vulnérabilité est activement exploitée.
La bibliothèque libwebp est utilisée dans de nombreux produits. Plusieurs éditeurs ont d’ores et déjà proposé des correctifs de sécurité : Mozilla [2], Microsoft [3], etc. [4]
Toutefois, la description de la vulnérabilité CVE-2023-4863 ne concerne que Chrome. Un autre identifiant, CVE-2023-5129, a été réservé par Google [5]. Celui-ci concerne plus spécifiquement la source de la vulnérabilité située dans la fonction d’implémentation de l’encodage de Huffman de libwebp. Son score CVSSv3 est de 10.
Tous les avis de sécurité mentionnés dans la section Documentation référencent les correctifs déjà disponibles. Cependant, cette liste n’est pas exhaustive et toutes les applications utilisant une bibliothèque libwebp non mise à jour doivent être considérées comme vulnérables.
Le CERT-FR recommande fortement :
- aux utilisateurs d’applications ou de logiciels sur étagère manipulant des images au format WebP de prendre contact avec le développeur ou l’éditeur pour vérifier s’ils sont exposés à cette vulnérabilité et si un correctif est disponible;
- aux développeurs/éditeurs d’inventorier les solutions affectées par les vulnérabilités, de les corriger et de fournir une nouvelle version dans les plus brefs délais.
Ce bulletin est susceptible d’être mis à jour en fonction de l’évolution de la situation.
Documentation
- [1] Bulletin de sécurité Google Chrome du 11 septembre 2023
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html - Avis CERT-FR CERTFR-2023-AVI-0730 du 12 septembre 2023
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0730/ - Bulletin de sécurité Google Chrome du 12 septembre 2023
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_12.html - Avis CERT-FR CERTFR-2023-AVI-0735 du 13 septembre 2023
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0735/ - [2] Bulletin de sécurité Mozilla mfsa2023-40 du 12 septembre 2023
https://www.mozilla.org/en-US/security/advisories/mfsa2023-40/ - Avis CERT-FR CERTFR-2023-AVI-0734 du 13 septembre 2023
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0734/ - [3] Bulletin de sécurité Microsoft CVE-2023-4863 du 12 septembre 2023
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-4863 - Avis CERT-FR CERTFR-2023-AVI-0738 du 13 septembre 2023
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0738/ - [4] Avis de sécurité NVD CVE-2023-4863 du 12 septembre 2023
https://nvd.nist.gov/vuln/detail/CVE-2023-4863 - [5] Avis de sécurité NVD CVE-2023-5129 du 25 septembre 2023
https://nvd.nist.gov/vuln/detail/CVE-2023-5129 - Référence CVE CVE-2023-4863
https://www.cve.org/CVERecord?id=CVE-2023-4863 - Référence CVE CVE-2023-5129
https://www.cve.org/CVERecord?id=CVE-2023-5129
Rappel des avis émis
Dans la période du 18 au 24 septembre 2023, le CERT-FR a émis les publications suivantes :
- CERTFR-2023-AVI-0756 : Multiples vulnérabilités dans TrendMicro Deep Discovery Inspector
- CERTFR-2023-AVI-0757 : Multiples vulnérabilités dans IBM Spectrum Copy Data Management
- CERTFR-2023-AVI-0758 : Multiples vulnérabilités dans les produits Qnap
- CERTFR-2023-AVI-0759 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2023-AVI-0760 : Multiples vulnérabilités dans NetApp HCI Baseboard Management Controller
- CERTFR-2023-AVI-0761 : Vulnérabilité dans GitLab CE et Gitlab EE
- CERTFR-2023-AVI-0762 : Multiples vulnérabilités dans les produits ElasticSearch
- CERTFR-2023-AVI-0763 : Multiples vulnérabilités dans les produits Spring
- CERTFR-2023-AVI-0764 : Vulnérabilité dans les produits TrendMicro
- CERTFR-2023-AVI-0765 : Vulnérabilité dans les produits ElasticSearch
- CERTFR-2023-AVI-0766 : Vulnérabilité dans les produits Xen
- CERTFR-2023-AVI-0767 : Multiples vulnérabilités dans Bind
- CERTFR-2023-AVI-0768 : Vulnérabilité dans les produits Drupal
- CERTFR-2023-AVI-0769 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2023-AVI-0770 : Multiples vulnérabilités dans les produits Tenable
- CERTFR-2023-AVI-0771 : Multiples vulnérabilités dans les produits Qnap
- CERTFR-2023-AVI-0772 : Multiples vulnérabilités dans les produits Apple
- CERTFR-2023-AVI-0773 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2023-AVI-0774 : Multiples vulnérabilités dans le noyau Linux de RedHat
- CERTFR-2023-AVI-0775 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu