Début septembre, The Citizen Laboratory a repéré une activité suspecte sur l’iPhone d’un utilisateur travaillant pour une société de défense des droits civiques à Washington DC. Les pirates ont utilisé CVE-2023-41061 et CVE-2023-41064 et installé un logiciel espion sur le téléphone de la victime, contournant les couches de protection d’iMessage. La société a conclu que la faute venait d’ImageIO, la structure d’Apple pour reconnaître les images. Le problème a été rapidement résolu avec une mise à jour pour iOS, macOS et watchOS, sans entrer dans les détails du format d’image exploité.
Le format WebP (conçu à l’origine par Google) a obtenu une référence dans la vulnérabilité CVE- 2023-4863, qui a été divulguée à la mi-septembre. Les pirates avaient la possibilité d’exploiter le jour zéro pour exécuter du code à distance, par exemple en installant des applications logicielles indésirables. Les navigateurs Web Chrome, Firefox, Edge, Brave et Vivaldi ont été mis à niveau pour parer au danger, même si Google a d’abord mentionné que seul Chrome lui-même (et non les navigateurs Internet basés sur Chromium) était susceptible.
Relation obsolète
De nombreux experts en sécurité se sont demandé si les 2 vulnérabilités pouvaient avoir exactement la même cause. Will Dormann, par exemple, a fait valoir que le même défaut logiciel ne devrait pas être lié à différents codes CVE. Après tout, un tel code doit garantir qu’il soit clair quelle vulnérabilité est impliquée et où elle se produit. CVE-2023-41064 et CVE-2023-4863 auraient lieu « dans la nature » alors qu’ils devaient être équivalents l’un de l’autre.
Plus précisément, les deux cas impliquaient un débordement de tampon de tas dans le package libwebp. du codec WebP. Il est utilisé pour coder ou déchiffrer des images. La quantité de données traitées par le programme varie. Il est possible de placer du code au-delà de la mémoire tampon autorisée, permettant ainsi l’exécution de code à distance. Le plan libwebp est découvert des milliards de fois dans Rust, Python, Node.js et WordPress, entre autres.
Le laboratoire résident de la Munk School de l’Université de Toronto a informé Apple et Google qu’il avait effectivement trouvé la vulnérabilité. . Les scientifiques de Rezilion ont réussi à le découvrir en comparant les documents d’avis de sécurité d’Apple et une notification de mise à jour de Google. Après que le Citizen Laboratory les ait informés, les choses ont mal tourné au sein des deux entreprises technologiques. Tous deux ont découvert une description trop étroite des vulnérabilités puisque Google a signalé que seul Chrome était affecté, tandis qu’Apple l’a lié à sa propre structure ImageIO.
Rezilion met en garde contre les « faux négatifs » : après tout, ceux qui recherchent CVE-2023-41064 peut ne rien découvrir. Ceci alors qu’un utilisateur final peut toujours être sensible au défaut du format WebP via CVE-2023-4863. Selon Rezilion, en commettant une telle erreur dans leurs rapports de vulnérabilité, les géants de la technologie créent une « immense zone aveugle » pour les entreprises qui s’appuient exclusivement sur les résultats d’un scanner de sécurité.
En raison du fait que les rapports sur ces cybermenaces sont généralement succincts, les codes CVE doivent garantir que tout le monde comprend quelle vulnérabilité est particulièrement impliquée. Il était difficile de comprendre que de nombreux systèmes d’exploitation basés sur Linux pourraient également être affectés par l’exploit WebP s’ils n’étaient pas mis à niveau. D’autre part, ceux disponibles sont Debian, Ubuntu, RedHat et Oracle Linux. Amazon Linux n’a apparemment pas encore lancé de mise à niveau.
Toute l’actualité en temps réel, est sur L’Entrepreneur
