CVE-2023-5129 : Vulnérabilité importante touchant WEBP et tous les navigateurs internet

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Messages : 117010
Inscription : 10 sept. 2005 13:57

CVE-2023-5129 : Vulnérabilité importante touchant WEBP et tous les navigateurs internet

par Malekal_morte »

Google a attribué un nouvel identifiant CVE à une faille de sécurité critique dans la bibliothèque d'images libwebp pour le rendu d'images au format WebP, qui a fait l'objet d'une exploitation active dans la nature.

Classé CVE-2023-5129, le problème a reçu la note de gravité maximale de 10.0 dans le système d'évaluation CVSS. Il a été décrit comme un problème lié à l'algorithme de codage Huffman.
Avec un fichier WebP sans perte spécialement conçu, libwebp peut écrire des données hors limites dans le tas. La fonction ReadHuffmanCodes() alloue le tampon HuffmanCode avec une taille qui provient d'un tableau de tailles précalculées : kTableSize. La valeur color_cache_bits définit la taille à utiliser. Le tableau kTableSize ne prend en compte que les tailles pour les tables de recherche de premier niveau de 8 bits, mais pas les tables de recherche de second niveau. libwebp autorise des codes allant jusqu'à 15 bits (MAX_ALLOWED_CODE_LENGTH). Lorsque BuildHuffmanTable() tente de remplir les tables de second niveau, il peut écrire des données hors limites. L'écriture OOB dans le tableau sous-dimensionné se produit dans ReplicateValue.
En clair donc, avec une image WEBP malformée, il est possible d'exécuter un code à distance sur la machine.
De quoi permettre d'installer un malware, via une attaque Drive-By Download.

Tous les navigateurs internet sont touchés, il faut procéder à leurs mises à jour au plus vite.

En lien : Les virus dans les images
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Parisien_entraide
Messages : 19471
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Vulnérabilité importante touchant WEBP et tous les navigateurs internet

par Parisien_entraide »

2023-09-27_155025.png

En complément :

Sur le format WEBP
https://fr.wikipedia.org/wiki/WebP?useskin=vector


Les navigateurs Chrome et Firefox ont procédé à des mises à jour rapidement le 13 Septembre MAIS ce n'est pas le cas de tous les navigateurs
Même chez Google la version Android n'avait pas été patchée à temps...



Pour les navigateurs sous Chromium il peut se passer parfois quelques semaines avant de voir un patch de sécurité arriver
Donc il faut tout vérifier

Chez Mozilla, que ce soit la version officielle ou dérivée (le Fork Fennec F-Droid) les 2 sont patchés sous Android

Google n'offre aucun détail supplémentaire sur la vulnérabilité, il avertit les utilisateurs que le problème est déjà exploité dans la nature. Il est possible que le problème soit exploité en ouvrant simplement un site Web avec des images WebP spécialement conçues dans Chrome


Voici encore un argument pour ceux qui sont sous Windows 7 de passer à une version supérieure : Windows 10 et pas Windows 11, puisqu'il y a de grandes chances que les PC qui sont sous Win7 ne remplissent pas les exigences demandées, dont pour le processeur, qui est source de 87% de plantages ou d'instabilités si on force avec RUFUS par exemple, afin d'installer Windows 11

Actuellement seul Firefox sous Win7 bénéficie de la mise à jour
Les versions Chrome et navigateurs sous Chromium ne sont plus suivis, donc mis à jour depuis le mois de janvier 2023
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19471
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Vulnérabilité importante touchant WEBP et tous les navigateurs internet

par Parisien_entraide »

2023-09-28_110250.png

A noter que d'autres applications sont touchées par cette faille (CVE 2023-4863)

On a par exemple LIBRE OFFICE

Les développeurs ont sorti une correction de sécurité pour les versions LibreOffice 7.6.2 et LibreOffice 7.5.7


RAPPEL

La version 7.5.x est la version la plus stable pour les entreprises

La version 7.6.x contient davantage d'innovations qui ne sont peut-être pas encore complètement stables. Néanmoins pour les particuliers qui n'utilisent pas toutes les fonctions et même pour un usage familial même avancé, il n'y a pas de soucis spécifiques

Ce n'est que lorsque la version 7.6 s'avérera suffisamment stable qu'elle remplacera le 7.5 (Normalement au mois de novembre).



Téléchargement

https://fr.libreoffice.org/download/tel ... breoffice/

2023-09-28_110736.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19471
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: CVE-2023-5129 : Vulnérabilité importante touchant WEBP et tous les navigateurs internet

par Parisien_entraide »

Autres programmes touchés par la faille


Code : Tout sélectionner

balenaEtcher
Basecamp 3
Beaker (web browser)
Bitwarden
CrashPlan
Cryptocat (discontinued)
Discord
Eclipse Theia
FreeTube
GitHub Desktop
GitKraken
Joplin
Keybase
Lbry
Light Table
Logitech Options +
LosslessCut
Mattermost
Microsoft Teams
MongoDB Compass
Mullvad
Notion
Obsidian
QQ (for macOS)
Quasar Framework
Shift
Signal
Skype
Slack
Symphony Chat
Tabby
Termius
TIDAL
Twitch
Visual Studio Code
WebTorrent
Wire
Yammer

Et ceux qui ont appliqué le patch


Code : Tout sélectionner

Google Chrome –  Mac et Linux 116.0.5845.187 et Windows 116.0.5845.187/.188.
Mozilla – Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, 
Thunderbird 102.15.1, and Thunderbird 115.2.2
Brave Browser – version 1.57.64 (Chromium: 116.0.5845.188) [Android, iOS, Linux & Mac].
Microsoft Edge – versions 109.0.1518.140, 116.0.1938.81, and 117.0.2045.31.
Tor Browser – version 12.5.4.
Opera – version 102.0.4880.46.
Vivaldi – version 6.2.3105.47.
1Password — version 8.10.15
Bitwarden
LibreOffice
Suse
Ubuntu
LosslessCut
NixOS -
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 19471
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: CVE-2023-5129 : Vulnérabilité importante touchant WEBP et tous les navigateurs internet

par Parisien_entraide »

Autres programmes touchés par la faille


Code : Tout sélectionner

balenaEtcher
Basecamp 3
Beaker (web browser)
Bitwarden
CrashPlan
Cryptocat (discontinued)
Discord
Eclipse Theia
FreeTube
GitHub Desktop
GitKraken
Joplin
Keybase
Lbry
Light Table
Logitech Options +
LosslessCut
Mattermost
Microsoft Teams
MongoDB Compass
Mullvad
Notion
Obsidian
QQ (for macOS)
Quasar Framework
Shift
Signal
Skype
Slack
Symphony Chat
Tabby
Termius
TIDAL
Twitch
Visual Studio Code
WebTorrent
Wire
Yammer

Et ceux qui ont appliqué le patch


Code : Tout sélectionner

Google Chrome –  Mac et Linux 116.0.5845.187 et Windows 116.0.5845.187/.188.
Mozilla – Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, 
Thunderbird 102.15.1, and Thunderbird 115.2.2
Brave Browser – version 1.57.64 (Chromium: 116.0.5845.188) [Android, iOS, Linux & Mac].
Microsoft Edge – versions 109.0.1518.140, 116.0.1938.81, and 117.0.2045.31.
Tor Browser – version 12.5.4.
Opera – version 102.0.4880.46.
Vivaldi – version 6.2.3105.47.
1Password — version 8.10.15
Bitwarden
LibreOffice
Suse
Ubuntu
LosslessCut
NixOS -
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »