Cet exploit massif permet aux pirates de pirater des applications comme Chrome, 1Password et Telegram

Hibou Gourou

Un énorme bug de sécurité vient d'être découvert qui affecte les images WebP utilisées dans un nombre incalculable de sites Web et d'applications, et il pourrait potentiellement permettre à des pirates informatiques de s'introduire dans votre ordinateur et d'en extraire des données. En fait, Google l’a déjà vu activement exploité dans la nature . Pour cette raison, il est essentiel que vous corrigiez votre ordinateur dès que possible.

La découverte a été détaillée par le chercheur Alex Ivanovs, qui a écrit sur le bug dans un article de blog . À l'heure actuelle, cela semble affecter presque tous les meilleurs navigateurs Web , notamment Chrome, Firefox, Edge et Brave. Les images WebP sont utilisées partout sur le Web, ce qui signifie qu'un grand nombre de sites et d'applications pourraient être affectées.

Une main sombre et mystérieuse tapant sur un ordinateur portable la nuit.

L'exploit concerne ce qu'on appelle un bug de débordement de tas dans un codec qui interprète et affiche les images WebP. Ce bug de débordement se produit lorsque plus de données sont envoyées à la mémoire « tas » d’une application qu’elle n’est conçue pour en contenir. Cela peut permettre à un code néfaste de remplacer un bon code, avec pour résultat que les applications peuvent se comporter de manière inattendue – et potentiellement malveillante.

Dans le cas des fichiers WebP, un attaquant pourrait créer une image WebP masquant le code malveillant. Lorsque vous visualisez cette image, le code pourrait être exécuté, permettant à l'attaquant d'accéder à votre ordinateur ou de voler des données qui y sont stockées, qui peuvent inclure des informations extrêmement sensibles telles que vos mots de passe ou les détails de votre carte de crédit.

Un grand nombre de sites Web utilisent des fichiers WebP en raison de leur excellent équilibre entre qualité et taille de fichier, de sorte que le nombre d'utilisateurs susceptibles d'être affectés par cet exploit est énorme. Mais ce n’est pas la seule chose qui rend ce bug si grave.

Pas seulement des sites Web

Un grand moniteur affichant un avertissement de violation de sécurité.

Étant donné que le bogue affecte un codec WebP, on le retrouve également dans de nombreuses applications nécessitant un moyen d'afficher les images WebP. Les applications concernées incluent Telegram , 1Password, Signal, LibreOffice , la suite Affinity d'applications de conception et bien d'autres.

Les développeurs de plusieurs de ces applications ont commencé à déployer des correctifs, 1Password, Chrome, Firefox, Edge et Brave ayant publié des mises à jour. Apple a également publié une mise à jour de macOS Ventura qui est censée corriger le bug.

Ivanovs affirme que la vulnérabilité a été signalée pour la première fois par l'équipe d'ingénierie et d'architecture de sécurité d'Apple, en collaboration avec le Citizen Lab de la Munk School de l'Université de Toronto. Le bug a été soumis le 6 septembre 2023 et porte l'identifiant CVE-2023-4863 .

En raison de la gravité potentielle de ce bug, vous devez vérifier les mises à jour de vos applications dès que possible et vous assurer de les mettre à jour le plus rapidement possible. C'est la meilleure façon de protéger votre ordinateur contre cet exploit.