Google a publié une mise à jour d’urgence de Chrome quelques jours après qu’Apple ait publié iOS 16.6.1
Quelques jours seulement après qu’Apple a publié iOS 16.6.1 pour protéger l’iPhone et l’iPad contre un exploit critique de type Zero Day impliquant ImageIO, Google a déployé une mise à jour de sécurité d’urgence pour les utilisateurs de Chrome contre une menace Zero Day qui a un impact sur le format d’image WebP. . Cependant, les coïncidences vont bien au-delà de la simple résolution des deux exploits critiques liés à la création d’images malveillantes.
Mise à jour du 14/09 ci-dessous. Cet article a été initialement publié le 12 septembre.
Les mises à jour de sécurité CVE-2023-4863, Blastpass, iOS et Chrome sont-elles liées ?
Apple et Google restent discrets lorsqu’il s’agit de divulguer des détails techniques concernant ces jours zéro afin d’empêcher de nouveaux exploits pendant que les utilisateurs mettent encore à jour leurs appareils. Cependant, comme l’a rapporté ma collègue Kate O’Flaherty, CVE-2023-41064 est une vulnérabilité qui « pourrait permettre à un adversaire d’exécuter du code via des images conçues de manière malveillante », utilisée dans une attaque appelée BLASTPASS et « exploitant les pièces jointes PassKit contenant du contenu nuisible ». images »selon Citizen Lab.
Chrome Zero-Day, CVE-2023-4863, est un problème de dépassement de tampon de tas au format d’image WebP. Bien qu’il n’y ait pas encore de confirmation, un exploit pourrait potentiellement permettre une attaque sans clic lors de la visite d’un site Web contenant une image malveillante. Selon le rapport du Citizen Lab, l’exploit BLASTPASS était également une attaque sans clic, capable de compromettre les iPhones sans aucune interaction.
Coïncidence? Peut-être, mais il convient de noter que le rapport de Citizen Lab était daté du 7 septembre et que le jour zéro de Chrome a été signalé à Google le 6 septembre. Nul autre que l’équipe d’ingénierie et d’architecture de sécurité d’Apple et Citizen Lab.
J’ai contacté Apple, Citizen Lab et Google pour obtenir une déclaration et je mettrai à jour cet article s’il devient disponible.
Mise à jour 9/14 : Le développeur et blogueur Alex Ivanovs a confirmé que, outre les navigateurs Web, « tout logiciel utilisant la bibliothèque libwebp » est affecté par cette vulnérabilité, y compris les applications basées sur Electron comme 1Password et Signal.
L’application 1Password pour Mac a été mis à jour vers la version 8.10.15 pour patcher CVE-2023-4863 e Signal Desktop a été mis à jour pour inclure le patch Electron v25.
Ivanov explique que le problème réside dans la fonction BuildHuffman Table, introduite en 2014.
Les autres navigateurs Web qui ont été mis à jour pour corriger la vulnérabilité Zero Day WebP incluent :
Brave, qui a été mis à jour vers 116.0.5845.188
Edge, qui a été mis à jour vers 116.0.1938.81 (116.1938.79 pour iOS)
Firefox, qui a été mis à jour vers la version 117.0.1
Opera, qui a été mis à jour vers 102.0.4880.46
Vivaldi, qui a été mis à jour vers 6.2.3105.47
Il n’y a pas encore de confirmation que la vulnérabilité WebP est liée à la chaîne d’exploitation BLASTPASS comprenant deux jours zéro qui pourraient conduire à l’infection des iPhones par le logiciel espion Pegasus. Cependant, Apple a désormais publié des mises à jour de sécurité supplémentaires pour les anciennes versions d’iOS, iPadOS et macOS. Des correctifs sont désormais disponibles pour iOS 15.7.9, iPadOS 15.7.9, macOS Monterey 12.6.9 et macOS Big Sur 11.7.9. Cela signifie que les anciens iPhones, tels que les iPhone 6 et 7, sont désormais protégés même si iOS 15 n’est plus pris en charge.
Mettez à jour votre navigateur Chrome maintenant
Pendant ce temps, Google a annoncé que les mises à jour de Chrome vers 116.0.5845.187 pour Mac et Linux et 116.0.5845.187/188 pour Windows seraient déployées dans les prochains jours. Google affirme également être “au courant de l’existence d’un exploit pour CVE-2023-4863”.
Par conséquent, et étant donné qu’il semble y avoir un lien potentiel entre la campagne de logiciel espion BLASTPASS et cette mise à jour de sécurité d’urgence de Chrome, il est conseillé à tous les utilisateurs de Chrome de mettre à jour dès que possible. Les mises à jour de sécurité sont automatiques, mais il est toujours préférable de vérifier sur votre appareil pour vous assurer que le correctif a non seulement été téléchargé mais également activé. Accédez à l’option Aide|À propos pour démarrer le processus de vérification des mises à jour. Une fois que vous avez téléchargé et installé une mise à jour de sécurité, vous devrez redémarrer votre navigateur pour activer la protection contre cet exploit zero-day.
Bien qu’on ne sache pas encore si d’autres navigateurs basés sur Chromium tels que Brave, Edge, Opera et Vivaldi sont concernés par cette vulnérabilité, il semblerait prudent de vérifier également les mises à jour de sécurité.