Vulnérabilité de type débordement de tampon basée sur le tas dans Google Chrome, Firefox.

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2023/ALERTE/042

Date de l’alerte : 14/09/2023

APERÇU :

Une vulnérabilité critique de débordement de tampon, identifiée sous le code CVE-2023-4863, a été découverte dans Google Chrome, Firefox, ainsi que dans de nombreux autres navigateurs. Cette faille de sécurité touche le composant libwebp.

DESCRIPTION :

LibWebP est une bibliothèque logicielle open source développée par Google pour travailler avec le format d’image WebP. WebP est un format d’image numérique que Google a créé afin de fournir des images de haute qualité tout en offrant une compression plus efficace que d’autres formats d’images couramment utilisés, tels que JPEG et PNG.

Cependant, cette bibliothèque présente une vulnérabilité critique liée à un débordement de tampon de tas. Cette vulnérabilité permet à un attaquant distant de manipuler de manière malveillante des données en dépassant les limites de l’espace mémoire réservé à ces données. En exploitant cette faille, un attaquant pourrait causer de graves dysfonctionnements dans le navigateur, voire exécuter du code malveillant sur la machine de l’utilisateur. Par conséquent, toutes les applications telles que Chrome, Edge ou Firefox qui utilisent cette bibliothèque pour afficher des images WebP peuvent potentiellement être détournées par une image spécialement conçue.

Cette vulnérabilité est classée comme critique, avec un score de 9.8 en termes de sévérité.

IMPACT :

  • Accès à des données sensibles  ; 
  • Compromission du Système.
  • Prise de contrôle du système.

SYSTÈMES AFFECTÉS : 

  • Google Chrome : Toutes les versions inférieures à 116.0.5845.187.
  • Firefox : Toutes les versions inférieures à 117.0.1.
  • Thunderbird : Toutes les versions inférieures à 115.2.2.

MESURES À PRENDRE : 

Effectuer une mise à jour vers la version 3.10 ou une version ultérieure.

REFERENCES :

Partagez sur vos réseaux.