Une faille de sécurité liée aux images au format WebP a été découverte récemment par Apple en collaboration avec l’université de Toronto. Suite à sa publication début septembre, Google — qui a créé ce format il y a près de 13 ans — a confirmé qu’elle est activement exploitée. Néanmoins, un correctif est déployé dans toutes les apps concernées, et elles sont nombreuses, puisqu’il suffit qu’elles soient capables d’afficher des images WebP pour être touchées. C’est le cas des navigateurs web par exemple, mais aussi de toutes les apps construites sur une base d’Electron.
Apple a corrigé la faille de sécurité dans la foulée de sa découverte et macOS Ventura 13.5.2 contiendrait le correctif. Google a été rapide aussi et Chrome 116.0.5845.187 pour macOS intègre ce qu’il faut pour reboucher la faille. Mozilla a diffusé une version 117.0.1 de Firefox dans la foulée, ainsi que des mises à jour pour son client mail Thunderbird. Microsoft a aussi fait le nécessaire, en sortant la version 116.0.1938.81 d’Edge avec la correction.
Du côté des apps Electron, le correctif a été intégré il y a deux jours, mais les apps qui l’utilisent doivent elles aussi être mises à jour. Un exemple, le gestionnaire de mots de passe 1Password a reçu un correctif le lendemain (version 8.10.15). Bref, pensez à mettre à jour régulièrement vos apps, même si elles ne semblent pas concernées par une faille liée aux images WebP.
Source : NextInpact
