Google a attribué un nouvel identifiant CVE (CVE-2023-5129) à une vulnérabilité de sécurité de libwebp exploitée comme un jour zéro dans les attaques et corrigée il y a deux semaines.
La société a initialement divulgué la faille comme une faiblesse de Chrome, identifiée comme CVE-2023-4863, plutôt que de l’attribuer à la bibliothèque open source libwebp utilisée pour encoder et décoder les images au format WebP.
Ce bug zero-day a été signalé conjointement par Apple Security Engineering and Architecture (SEAR) et le Citizen Lab de la Munk School de l’Université de Toronto le mercredi 6 septembre, et corrigé par Google moins d’une semaine plus tard.
Les chercheurs en sécurité du Citizen Lab ont fait leurs preuves en matière de détection et de révélation des failles Zero Day qui ont été exploitées dans le cadre de campagnes ciblées de logiciels espions, souvent liées à des acteurs de menace parrainés par l’État, ciblant principalement des individus à haut risque tels que des journalistes et des politiciens de l’opposition.
La décision de le qualifier de bug de Chrome a semé la confusion au sein de la communauté de la cybersécurité, suscitant des questions quant au choix de Google de le classer comme un problème de Google Chrome plutôt que de l’identifier comme une faille dans libwebp.
Ben Hawkes, fondateur du cabinet de conseil en sécurité (qui dirigeait auparavant l’équipe Project Zero de Google) a également lié CVE-2023-4863 à la vulnérabilité CVE-2023-41064 corrigée par Apple le 7 septembre et exploitée de manière abusive dans le cadre d’une chaîne d’exploitation iMessage sans clic (appelée BLASTPASS) pour infecter les iPhones entièrement corrigés avec le logiciel espion commercial Pegasus de NSO Group.
Nouveau CVE de gravité maximale
Cependant, il a désormais attribué un autre ID CVE, CVE-2023-5129, le marquant comme un problème critique dans libwebp avec un indice de gravité maximum de 10/10. Ce changement a des implications significatives pour d’autres projets utilisant la bibliothèque open source libwebp.
Désormais officiellement reconnue comme une faille de libwebp, elle implique un débordement de tampon dans WebP, impactant les versions de Google Chrome antérieures à 116.0.5845.187.
Cette vulnérabilité réside dans l’algorithme de codage de Huffman utilisé par libwebp pour la compression sans perte et permet aux attaquants d’exécuter des écritures de mémoire hors limites à l’aide de pages HTML conçues de manière malveillante.
Ce type d’exploit peut avoir de graves conséquences, allant des plantages à l’exécution de code arbitraire et à l’accès non autorisé à des informations sensibles.
La reclassification de CVE-2023-5129 en tant que vulnérabilité libwebp revêt une importance particulière car elle est initialement passée inaperçue en tant que menace de sécurité potentielle pour de nombreux projets utilisant libwebp, notamment 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera et le natif. Navigateurs Web Android.
La note critique révisée souligne l’importance de remédier rapidement à la vulnérabilité de sécurité (désormais suivie sous plusieurs identifiants CVE avec différents niveaux de gravité) sur ces plates-formes pour garantir la sécurité des données des utilisateurs.
Un porte-parole de Google n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par Breachtrace plus tôt dans la journée.