Mercredi, Google a signalé qu’une vulnérabilité critique du jour zéro dans son navigateur Chrome ouvrait Internet à un nouveau chapitre de Groundhog Day.
À l’instar d’un Zero Day critique divulgué par Google le 11 septembre, la nouvelle vulnérabilité exploitée n’affecte pas uniquement Chrome. Mozilla a déjà déclaré que son navigateur Firefox était vulnérable au même bug, suivi comme CVE-2023-5217. Et tout comme CVE-2023-4863 d’il y a 17 jours, le nouveau réside dans une bibliothèque de codes largement utilisée pour le traitement des fichiers multimédias, en particulier ceux au format VP8.
Les pages ici et ici répertorient des centaines de packages pour Ubuntu et Debian uniquement qui reposent sur la bibliothèque connue sous le nom de libvpx. La plupart des navigateurs l’utilisent et la liste des logiciels ou des fournisseurs qui le prennent en charge se lit comme un who’s who d’Internet, notamment Skype, Adobe, VLC et Android.
On ne sait pas combien de progiciels dépendant de libvpx seront vulnérables à CVE-2023-5217. La divulgation de Google indique que le jour zéro s’applique à l’encodage vidéo. En revanche, le jour zéro exploité dans libwebp, la bibliothèque de code vulnérable aux attaques du début du mois, a fonctionné pour l’encodage et le décodage. En d’autres termes, d’après le libellé de la divulgation, CVE-2023-5217 nécessite qu’un appareil ciblé crée des médias au format VP8. CVE-2023-4863 pourrait être exploité lorsqu’un appareil ciblé affichait simplement une image piégée.
« Le fait qu’un paquet dépende de libvpx ne signifie PAS nécessairement qu’il serait vulnérable », a écrit Will Dorman, analyste principal chez Analygence, dans une interview en ligne. « La vulnérabilité est encodée en VP8, donc si quelque chose utilise libvpx uniquement pour le décodage, il n’a rien à craindre. » Même avec cette distinction importante, il y aura probablement de nombreux autres packages, outre Chrome et Firefox, qui nécessiteront des correctifs. « Les navigateurs Firefox, Chrome (et basés sur Chromium), ainsi que d’autres éléments qui exposent les capacités d’encodage VP8 de libvpx à JavaScript (c’est-à-dire les navigateurs Web), semblent être menacés », a-t-il déclaré.
Peu de détails sont actuellement disponibles sur les attaques in-the-wild qui ont exploité le dernier jour zéro. Le message de Google indiquait seulement que le code exploitant la faille « existe à l’état sauvage ». Un réseau social poste de Maddie Stone, chercheuse en sécurité au sein du groupe d’analyse des menaces de Google, a déclaré que le jour zéro était « utilisé par un fournisseur de services de surveillance commerciale ». Google a crédité Clément Lecigne du TAG de Google pour avoir découvert la vulnérabilité lundi, deux jours seulement avant la publication du correctif mercredi.
Le jour zéro est corrigé dans Chrome 117.0.5938.132, Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus pour Android 118.1 et Firefox pour Android 118.1.
Il existe d’autres similitudes entre les deux jours zéro. Ils proviennent tous deux de débordements de tampon qui permettent l’exécution de code à distance avec peu ou pas d’interaction de la part d’un utilisateur final autre que la visite d’une page Web malveillante. Ils affectent tous deux les médiathèques publiées par Google il y a plus de dix ans. Et les deux bibliothèques sont écrites en C, un langage de programmation vieux de 50 ans largement considéré comme dangereux car sujet à des vulnérabilités de corruption de mémoire.
Une chose est différente cette fois-ci : le libellé du CVE attribué par Google mercredi indique clairement que la vulnérabilité affecte non seulement Chrome mais également libvpx. Lorsque Google a attribué le code CVE-2023-4863, il a seulement mentionné que la vulnérabilité affectait Chrome, ce qui a semé la confusion selon les critiques, selon les critiques, qui ralentissaient l’application des correctifs par d’autres progiciels concernés.
Il faudra probablement encore quelques jours pour que toute la portée de CVE-2023-5217 devienne claire. Les développeurs du projet libvpx n’ont pas immédiatement répondu à un e-mail leur demandant si une version corrigée de la bibliothèque était disponible ou ce qui était spécifiquement requis pour exploiter les logiciels utilisant la bibliothèque. Pour l’instant, les personnes utilisant des applications, des frameworks logiciels ou des sites Web impliquant VP8, en particulier pour l’encodage vidéo, doivent faire preuve de prudence.