Le Zero Day de Chrome exploité dans la nature et patché par Google il y a quelques semaines a un nouvel identifiant et une description qui en dit long : la vulnérabilité ne se trouve pas dans Chrome, mais dans la bibliothèque libwebp, qui est utilisée par de nombreuses applications populaires pour encoder/décoder le format d’image WebP.
La source de la vulnérabilité est une implémentation défectueuse de l’algorithme de codage Huffman, qui peut permettre à des attaquants de déclencher un débordement de la mémoire tampon du tas et d’exécuter un code arbitraire.
CVE-2023-5129 affecte les versions 0.5.0 à 1.3.1 de libwebp, et a été corrigé dans la version 1.3.2.
Les chercheurs de Rezilion ont précédemment émis l’hypothèse que la CVE-2023-41064, une vulnérabilité de débordement de mémoire tampon dans le cadre ImageI/O récemment corrigée par Apple et exploitée pour fournir le logiciel espion Pegasus de NSO Group, et la CVE-2023-4863, le Zero-day Chrome susmentionné, sont en fait la même faille.
Certains d’entre eux ont déjà intégré la vulnérabilité, d’autres ne l’ont pas encore fait.
La bonne nouvelle pour les entreprises qui utilisent des scanners de vulnérabilité est qu’elles pourront enfin détecter automatiquement la vulnérabilité et y remédier sur l’ensemble de leurs systèmes.
