Parcourir Internet vous expose actuellement au risque d’être piraté. Ce n’est pas seulement parce qu’Internet est un endroit risqué : une nouvelle vulnérabilité de sécurité a été découverte, permettant aux acteurs malveillants d’entrer dans votre ordinateur, pouvant leur permettre d’installer des logiciels malveillants, de voler des données et même de prendre le contrôle de votre machine.
Comme l’a rapporté Stack Diary, le problème provient d’une vulnérabilité dans WebP, un codec d’image courant utilisé sur Internet. Cette vulnérabilité résulte d’un “dépassement de tampon de tas”, ce qui, en termes simples, permet à un acteur malveillant d’écraser des données sur votre ordinateur avec ce qu’il veut. Ils exploitent cette vulnérabilité en créant une image WebP malveillante qui, une fois vue, peut potentiellement extraire vos données, installer des logiciels malveillants sur votre ordinateur ou prendre totalement le contrôle de votre système.
Étant donné que ce codec est si largement utilisé, beaucoup de programmes sont concernés par cette découverte. Les applications basées sur Electron figurent parmi celles-ci, y compris des outils comme Signal et 1Password, ainsi que d’autres applications utilisant la bibliothèque lbwebp, notamment Affinity, Gimp, Inkscape, LibreOffice, Telegram, Thunderbird et ffmpeg. Stack Diary confirme que cela affectera également de nombreuses applications Android, en plus des applications construites avec Flutter.
Cependant, les applications les plus préoccupantes touchées par cette vulnérabilité sont sans doute les navigateurs web. Si vous utilisez Safari, Chrome, Firefox, Brave, Microsoft Edge, et même Tor, votre navigateur est à risque à cause de ce problème WebP.
Heureusement, tous ces navigateurs majeurs ont publié des correctifs de sécurité depuis la découverte de cette vulnérabilité. Apple, par exemple, a publié des mises à jour de sécurité pour tous les appareils actuellement supportés la semaine dernière, suivies de correctifs de sécurité pour les anciens appareils lundi afin de corriger le problème. Si vous avez un appareil Apple et que vous n’avez pas encore mis à jour vers la dernière mise à jour logicielle, faites-le dès que possible.
Voici les numéros de version des logiciels pour d’autres navigateurs majeurs :
-
Chrome : 116.0.5846.187 (Mac et Linux), 116.0.5845.187/.188 (Windows)
-
Mozilla : Firefox 117.0.1, Firefox ESR 102.15.1, Firefox ESR 115.2.1
-
Edge : 116.0.1938.81
-
Brave : 1.57.64
Si vous utilisez l’un des autres navigateurs mentionnés dans cet article, veillez à mettre à jour dès que vous le pouvez. Bien que certains se mettent à jour automatiquement, cela peut prendre un certain temps, il est donc préférable de mettre à jour manuellement. Pour mettre à jour Chrome, par exemple, cliquez sur les trois points dans le coin supérieur droit de votre fenêtre, choisissez Aide > À propos de Google Chrome, puis laissez Chrome vérifier la dernière mise à jour. Lorsqu’elle est prête, cliquez sur « Relancer » pour l’installer.
De plus, surveillez les mises à jour logicielles disponibles pour vos applications et installez-les rapidement également. 1Password dispose actuellement d’un correctif, comme d’autres applications le disposeront en temps voulu.
