Getty Images
Les informations incomplètes incluses dans les récentes divulgations d’Apple et de Google faisant état de vulnérabilités critiques du jour zéro exploitées activement dans leurs produits ont créé un « énorme angle mort » qui empêche un grand nombre d’offres d’autres développeurs de ne pas être corrigées, ont déclaré des chercheurs jeudi.
Il y a deux semaines, Apple a signalé que les acteurs malveillants exploitaient activement une vulnérabilité critique d’iOS afin de pouvoir installer un logiciel d’espionnage connu sous le nom de Pegasus. Les attaques utilisaient une méthode sans clic, ce qui signifie qu’elles ne nécessitaient aucune interaction de la part des cibles. Il suffisait de recevoir un appel ou un SMS sur un iPhone pour être infecté par Pegasus, l’un des logiciels malveillants les plus avancés au monde.
« Un énorme angle mort »
Apple a déclaré que la vulnérabilité, identifiée comme CVE-2023-41064, provenait d’un bug de dépassement de tampon dans ImageIO, un framework propriétaire qui permet aux applications de lire et d’écrire la plupart des formats de fichiers image, dont un connu sous le nom de WebP. Apple a attribué la découverte du jour zéro au Citizen Lab, un groupe de recherche de la Munk School de l’Université de Toronto qui suit les attaques menées par des États-nations ciblant des dissidents et d’autres groupes à risque.
Quatre jours plus tard, Google a signalé une vulnérabilité critique dans son navigateur Chrome. La société a déclaré que la vulnérabilité était ce qu’on appelle un débordement de tampon de tas présent dans WebP. Google a ensuite averti qu’un exploit pour cette vulnérabilité existait dans la nature. Google a déclaré que la vulnérabilité, désignée CVE-2023-4863, avait été signalée par l’équipe Apple Security Engineering and Architecture et Citizen Lab.
Des spéculations, y compris de ma part, ont rapidement surgi selon lesquelles un grand nombre de similitudes suggéraient fortement que le bug sous-jacent des deux vulnérabilités était le même. Jeudi, des chercheurs de la société de sécurité Rezillion ont publié des preuves qui, selon eux, rendaient « hautement probable » que les deux provenaient effectivement du même bug, en particulier dans libwebp, la bibliothèque de codes que les applications, les systèmes d’exploitation et d’autres bibliothèques de codes intègrent pour traiter les images WebP.
Plutôt qu’Apple, Google et Citizen Lab coordonnent et signalent avec précision l’origine commune de la vulnérabilité, ils ont choisi d’utiliser une désignation CVE distincte, ont indiqué les chercheurs. Les chercheurs ont conclu que « des millions d’applications différentes » resteraient vulnérables jusqu’à ce qu’elles intègrent elles aussi le correctif libwebp. Selon eux, cela empêchait les systèmes automatisés que les développeurs utilisent pour suivre les vulnérabilités connues de leurs offres de détecter une vulnérabilité critique qui est activement exploitée.
« Étant donné que la vulnérabilité est couverte par le produit global contenant la dépendance vulnérable, la vulnérabilité ne sera signalée que par les scanners de vulnérabilité de ces produits spécifiques », ont écrit les chercheurs de Rezillion Ofri Ouzan et Yotam Perkal. « Cela crée un ÉNORME angle mort pour les organisations qui s’appuient aveuglément sur les résultats de leur scanner de vulnérabilités. »
Google a en outre été critiqué pour avoir limité la portée de CVE-2023-4863 à Chrome plutôt qu’à libwebp. De plus, la description officielle décrit la vulnérabilité comme un débordement de tampon de tas dans WebP dans Google Chrome.
Dans un e-mail, un représentant de Google a écrit : « De nombreuses plateformes implémentent WebP différemment. Nous n’avons aucun détail sur l’impact du bug sur d’autres produits. Notre objectif était de fournir un correctif à la communauté Chromium et aux utilisateurs Chromium concernés dès que possible. Il est recommandé que les produits logiciels suivent les bibliothèques en amont dont ils dépendent afin de récupérer les correctifs et améliorations de sécurité.
Le représentant a noté que le format d’image WebP est mentionné dans sa divulgation et sur la page officielle CVE. Le représentant n’a pas expliqué pourquoi le CVE officiel et la divulgation de Google ne mentionnaient pas la bibliothèque libwebp largement utilisée ou que d’autres logiciels étaient également susceptibles d’être vulnérables.
Le représentant de Google n’a pas répondu à une question demandant si CVE-2023-4863 et CVE-2023-41064 provenaient de la même vulnérabilité. Citizen Lab et Apple n’ont pas répondu aux questions envoyées par courrier électronique avant la publication de cette histoire.