Une faille de sécurité liée aux images WebP a été débusquée par Apple
Une faille de sécurité liée aux images au format WebP a été découverte récemment par Apple en collaboration avec l’université de Toronto. Suite à sa publication début septembre, Google — qui a créé ce format il y a près de 13 ans — a confirmé qu’elle est activement exploitée. Néanmoins, un correctif est déployé dans toutes les apps concernées, et elles sont nombreuses, puisqu’il suffit qu’elles soient capables d’afficher des images WebP pour être touchées. C’est le cas des navigateurs web par exemple, mais aussi de toutes les apps construites sur une base d’Electron.
Apple a corrigé la faille de sécurité dans la foulée de sa découverte et macOS Ventura 13.5.2 contiendrait le correctif. Google a été rapide aussi et Chrome 116.0.5845.187 pour macOS intègre ce qu’il faut pour reboucher la faille. Mozilla a diffusé une version 117.0.1 de Firefox dans la foulée, ainsi que des mises à jour pour son client mail Thunderbird. Microsoft a aussi fait le nécessaire, en sortant la version 116.0.1938.81 d’Edge avec la correction.
Du côté des apps Electron, le correctif a été intégré il y a deux jours, mais les apps qui l’utilisent doivent elles aussi être mises à jour. Un exemple, le gestionnaire de mots de passe 1Password a reçu un correctif le lendemain (version 8.10.15). Bref, pensez à mettre à jour régulièrement vos apps, même si elles ne semblent pas concernées par une faille liée aux images WebP.
« Bref, pensez à mettre à jour régulièrement vos apps »
————
Excellente idée. Je fais comment pour mettre à jour Safari qui est totalement dépendant de l’OS qu’on fait tourner ?
Réponse : je n’utiliserai plus Safari tant qu’Apple ne désolidarisera pas les deux.
@MarcMame
« Apple a corrigé la faille de sécurité dans la foulée de sa découverte et macOS Ventura 13.5.2 contiendrait le correctif »
@YuYu
"« Apple a corrigé la faille de sécurité dans la foulée de sa découverte et macOS Ventura 13.5.2 contiendrait le correctif »"
————
Tu t’imagines bien que si je me permet de faire cette remarque, c’est que mon Mac ne tourne pas sous Ventura non ?
@MarcMame
J’imagine que Monterey et Big Sur ont aussi été protégés avec la mise à jour concomitante? Les notes de mise à jour de sécurité sont identiques avec celles de Ventura.
@austinforest
"J’imagine que Monterey et Big Sur ont aussi été protégés avec la mise à jour concomitante?"
————
Peut-être que je n’ai ni l’un ni l’autre.
@MarcMame
Dans ce cas ta version de Safari ne sait pas gérer les images au format WebP (tu as des petits carrés bleus avec un point d'interrogation à la place).
Donc, comme moi, tu ne risques rien 😊
@r e m y
"Dans ce cas ta version de Safari ne sait pas gérer les images au format WebP (tu as des petits carrés bleus avec un point d'interrogation à la place). "
————
Pas avec Firefox
Pas avec Chrome
Pas avec Opera
….
@MarcMame
Tu parlais de Safari.
Les autres navigateurs peuvent être mis à jour indépendamment de macOS !
@r e m y
Je pense que c’est justement ça qui l’embête. Que safari ne puisse pas être mis à jour sur sa version de macos.
@radeon
J'ai bien compris! Je suis dans la même situation... mais maintenant il parle des autres navigateurs qui, eux, peuvent être mis à jour (du moins il me semble)
@r e m y
Oui justement, les autres sont mis à jour, et safari pourrait l’être tout autant.
@radeon
Ah ok. Je n'avais pas compris son dernier commentaire de cette façon
@r e m y
:)
@ radeon
> Oui justement, les autres sont mis à jour, et safari pourrait l’être tout autant
Oui mais il s'agit d'un autre sujet.
Le vieux Safari dont il se plaint pour se plaindre qu'il ne peut pas être mis à jour ne supporte justement pas le format webp !
Donc il n'est pas concerné par la brève.
Donc il râle pour râler en profitant du moindre prétexte.
Un troll quoi.
@marc_os
"Le vieux Safari dont il se plaint pour se plaindre qu'il ne peut pas être mis à jour ne supporte justement pas le format webp !"
———-
Énorme cette remarque !
Tu es un champion !
Mais je le savais déjà.
@r e m y
"Les autres navigateurs peuvent être mis à jour indépendamment de macOS !"
————
Exactement mon coup de gueule depuis mon premier message !
et pour être exhaustif, la libwebp sous linux vient aussi d'être mise à jour
Pour une fois, c’est Apple qui trouve une faille! 🎉
Des détails techniques sur le fonctionnement de la faille ?
Pour ceux qui ont un trop viel OS ou une trop vieille version de Firefox pour la mettre à jour, cette extension est fort pratique : https://addons.mozilla.org/fr/firefox/addon/dont-accept-webp/.
De toute façon, webp ça pue.
Sérieux, combien de fois je suis retrouvé avec une image webp illisible sur mon bureau... tout ça pour gagner quelques Ko ! Marre !
@pecos
Si ca peut te consoler, les quelques ko gagnés, ce sont des téraoctets des gagnés de traffic par jour sur des serveurs :)
Il y a aussi Aperçu en capacité de lire du webp. Et sans doute plusieurs logiciels graphiques…
Une faille, oui mais qui a quelles conséquences ?
Qui peut être exploitée dans quelles conditions et pour faire quoi ?
Exécution de code arbitraire.
https://www.debian.org/security/2023/dsa-5497
Par exemple, tu vas sur une page web qui contient une image corrompue, qui exécute un programme sur ton ordi à ton insu.
mais meme avec la mise a jour d'un nouvel OS, le risque est present si on utilise une vieille appli/ appli pas mise a jour ?
@ ratz
Apple n'est responsable que de ses propres logiciels sur ton Mac.
Si webp n'est pas supporté au niveau API du Mac mais uniquement au niveau applicatif, donc oui, il faut mettre à jour en plus toute app non Apple pouvant lire ce format par elle même.
En particulier les apps Electron à la Slack comme le précise l'article.