WebP 0-Day CVE-2023-5129 : Comment identifier les applications vulnérables avec NinjaOne

WebP 0-day: How to Identify Apps Vulnerable to CVE-2023-5129

Une vulnérabilité de type “zero-day” (CVE-2023-5129) dans la bibliothèque d’images WebP est activement exploitée, mettant en danger les principaux navigateurs et des dizaines d’applications supplémentaires.

Qu’est-ce que ça signifie ?

Mercredi, Google a publié la vulnérabilité CVE-2023-5129 et lui a attribué un score de base de 10. Cela souligne la menace et la gravité de la faille, la situation est particulièrement grave.

Qu’est-ce que CVE-2023-5129 ?

CVE-2023-5129 est une faille de dépassement de tampon (heap buffer overflow) dans le format d’image WebP. Notamment, il permet une compression sans dégradation des images sur le web (l’utilisation de WebP permet aux développeurs de sites web de créer des images plus petites mais toujours aussi nettes, ce qui accélère la navigation). Nous n’entrerons pas dans les détails ici, mais vous pouvez trouver plus d’informations générales sur les failles de dépassement de tampon, et sur le problème de la fonction “BuildHuffmanTable” de la bibliothèque libwebp, en particulier, dans cet article d’Alex Ivanovs sur StackDiary.

À noter : cette vulnérabilité était à l’origine répertoriée sous le nom de CVE-2023-4863 et ne s’appliquait qu’à Chrome. Le nouveau CVE a été publié pour préciser que la faille s’applique en fait à un nombre beaucoup plus important d’applications (liste partielle ci-dessous).

Quelle est la sévérité de CVE-2023-5129 ?

Malheureusement, c’est très grave (d’où le CVSS de 10). Pour trois raisons différentes :

  • L’impact est extrêmement vaste : La vulnérabilité affecte tous les logiciels qui utilisent le codec WebP. Cela inclut les principaux navigateurs comme Chrome, Firefox, Safari et Edge, mais aussi, comme mentionné, une multitude d’applications supplémentaires (liste partielle ci-dessous). Les administrateurs qui souffrent encore du syndrome de stress post-traumatique lié à log4j reconsidèrent une fois de plus leur choix de vie.
  • L’impact de l’exploitation est extrêmement grave : Une exploitation réussie pourrait potentiellement permettre à des attaquants de prendre le contrôle d’un système, d’exécuter un code arbitraire et d’accéder à des données sensibles de l’utilisateur.
  • Les attaquants l’exploitent déjà activement : Au début du mois (11 septembre), Google a reconnu que la norme CVE-2023-4863 était exploitée. De plus, cette faille a été associée au rapport “BLASTPASS” publié le 7 septembre par Citizen Lab, qui révèle un programme d’exploitation de l’iPhone de type “zero-click” (zéro clic).

Quelles sont les applications concernées par CVE-2023-5129 ?

De nombreuses applications utilisent le traitement d’images WebP via libwebp. Comme indiqué sur cyberkendra.com, « puisque le codec est intégré à Android, toutes les applications de navigation natives sur les appareils Android sont concernées ».

Mais la liste ne s’arrête pas là. Ils signalent également que, selon une liste compilée sur Wikipedia, les applications suivantes utilisent le codec WebP :

  • 1Password
  • balenaEtcher
  • Basecamp 3
  • Beaker (navigateur web)
  • Bitwarden
  • CrashPlan
  • Cryptocat (abandonné)
  • Discord
  • Eclipse Theia
  • FreeTube
  • GitHub Desktop
  • GitKraken
  • Joplin
  • Keybase
  • Lbry
  • Light Table
  • Logitech Options +
  • LosslessCut
  • Mattermost
  • Microsoft Teams
  • MongoDB Compass
  • Mullvad
  • Notion
  • Obsidian
  • QQ (pour macOS)
  • Quasar Framework
  • Shift
  • Signal
  • Skype
  • Slack
  • Symphony Chat
  • Tabby
  • Termius
  • TIDAL
  • Twitch
  • Visual Studio Code
  • WebTorrent
  • Wire
  • Yammer

Quelles sont les applications pour lesquelles des correctifs pour CVE-2023-5129 sont disponibles ?

Cyberkendra.com dresse également une liste utile des fournisseurs qui ont introduit des correctifs pour cette vulnérabilité et la mettra à jour :

Que peuvent faire les administrateurs pour protéger leurs réseaux ?

Compte tenu de l’attention que cette affaire ne manquera pas de susciter et de l’exploitation active déjà confirmée, il est vivement recommandé de mettre à jour les applications vulnérables (et de confirmer que les correctifs ont été appliqués) dès que possible, une fois les mises à jour disponibles.

Malheureusement, le nombre total d’applications concernées n’a pas encore été déterminé, et vous ne pouvez pas patcher une application si vous ne savez pas qu’elle est vulnérable ou si le correctif n’est pas disponible. Il faut espérer que d’autres fournisseurs fourniront bientôt plus d’informations et de clarté.

En attendant…

Comment identifier les applications vulnérables à l’aide de NinjaOne ?

En attendant de connaître l’étendue des applications vulnérables, les professionnels de l’informatique peuvent au moins rechercher sur leurs réseaux les appareils fonctionnant avec des versions obsolètes d’applications qui ont été corrigées. Dans cette vidéo, Gavin Stone, Chef de produit chez NinjaOne, explique comment les utilisateurs de NinjaOne peuvent le faire en utilisant le filtre d’inventaire logiciel :

Liens et ressources supplémentaires

Pour aller plus loin

Les principes fondamentaux de la sécurité des appareils sont essentiels à votre posture de sécurité globale. NinjaOne facilite l’application de correctifs, le durcissement, la sécurisation et la sauvegarde des données de tous les appareils de façon centralisée, à distance et à grande échelle.
Pour en savoir plus sur NinjaOne Backup, participez à une visite guidée en direct ou commencez votre essai gratuit de la plateforme NinjaOne.

Vous pourriez aussi aimer

Prêt à simplifier les aspects les plus complexes de l'informatique et de la sécurité ?
×

Voir NinjaOne en action !

En soumettant ce formulaire, j'accepte la politique de confidentialité de NinjaOne.

Termes et conditions NinjaOne

En cliquant sur le bouton “J’accepte” ci-dessous, vous indiquez que vous acceptez les termes juridiques suivants ainsi que nos conditions d’utilisation:

  • Droits de propriété: NinjaOne possède et continuera de posséder tous les droits, titres et intérêts relatifs au script (y compris les droits d’auteur). NinjaOne vous accorde une licence limitée pour l’utilisation du script conformément à ces conditions légales.
  • Limitation de l’utilisation: Les scripts ne peuvent être utilisés qu’à des fins personnelles ou professionnelles internes légitimes et ne peuvent être partagés avec d’autres entités.
  • Interdiction de publication: Vous n’êtes en aucun cas autorisé à publier le script dans une bibliothèque de scripts appartenant à, ou sous le contrôle d’un autre fournisseur de logiciels.
  • Clause de non-responsabilité: Le texte est fourni “tel quel” et “tel que disponible”, sans garantie d’aucune sorte. NinjaOne ne promet ni ne garantit que le script sera exempt de défauts ou qu’il répondra à vos besoins ou attentes particulières.
  • Acceptation des risques: L’utilisation du script est sous votre propre responsabilité. Vous reconnaissez qu’il existe certains risques inhérents à l’utilisation du script, et vous comprenez et assumez chacun de ces risques.
  • Renonciation et exonération de responsabilité: Vous ne tiendrez pas NinjaOne pour responsable des conséquences négatives ou involontaires résultant de votre utilisation du script, et vous renoncez à tout droit ou recours légal ou équitable que vous pourriez avoir contre NinjaOne en rapport avec votre utilisation du script.
  • EULA: Si vous êtes un client de NinjaOne, votre utilisation du script est soumise au contrat de licence d’utilisateur final qui vous est applicable (End User License Agreement (EULA)).