Auteur Sujet: Faille WebP CVE-2023-4863 exploitée par le logiciel espion Pegasus via iMessage (Lu 4612 fois)

trekker92 · « **Réponse #24 le:** 04 octobre 2023 à 18:42:29 »

Citation de: vivien le 04 octobre 2023 à 14:06:39

Les mises à jour se font silencieusement (Chrome, comme Firefox ou Edge).

En allant dans "À propos de Chrome.." tu vas juste forcer une vérification, mais sans le faire la mise à jour est distribuée après quelques heures à quelques jours au maximum, si tu n'as pas désactivé les mises à jour.

si je pige bien la seule diff se fait sous nux ou mac, car ils exigent le mdp root pour maj (en tout cas j'ai jamais vu de FF/chrome se maj de lui meme sans passer par le terminal)

en complément, si la faille pegasus (une parmi des millions?) passe bien par le webp, alors les vieux logiciels peuvent dormir tranquille : ils revent pas du webp dans la nuit, et n'auront donc pas d'intrusion à constater au ptit dej, car le format est "trop récent" pour qu'ils le prennent en charge (de ce que j'en comprnds)

vivien · « **Réponse #25 le:** 04 octobre 2023 à 18:54:03 »

Sous Linux, les mises à jour sont gérées par le système d'exploitation et généralement se font silencieusement (certaines distributions demandent le mot de passe root, mais d'autres non, car le process qui gère les mises à jour est lancé avec les droits suffisants)

Citation de: ro78 le 04 octobre 2023 à 18:02:04

Souvent Firefox ouvre un onglet "What's new" au prochain lancement suite à une mise à jour transparente.

En cas de mise à jour fonctionnelle.

Il y a toute une partie des mises à jour qui est exclusivement destinée à combler des failles de sécurité importantes, qui ne peuvent pas attendre la mise à jour fonctionnelles suivantes.

Il y a quelques jours, on a eu un correctif 0-day concernant le codec vidéo VP8 dans tous les navigateurs.
=> https://www.mozilla.org/en-US/security/advisories/mfsa2023-44/
=> https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_27.html

vivien · « **Réponse #26 le:** 04 octobre 2023 à 21:50:51 »

La machine à remonter le temps existe : On est bien le 4 octobre 2023 et j'ai déjà les mises à jour de sécurité du 5 octobre 2023 !

Moins drôle, Google propose 3 date de mise à jour de sécurité avec des patchs différents : 1ᵉʳ octobre 2023 / 5 octobre 2023 / 6 octobre 2023 cf https://source.android.com/docs/security/bulletin/2023-10-01?hl=fr
Le correctif du 5 octobre inclus celui du 1ᵉʳ octobre, plus d'autres supplémentaires.
Le correctif du 6 octobre inclus celui du 1ᵉʳ octobre et 5 octobre, plus un seul correctif : La fameuse faille WebP CVE-2023-4863.

CVE-2023-4863 a été déclaré par Google le 12 septembre 2023 (et la même faille déclarée par Apple le 7 septembre 2023) : Pourquoi un correctif aussi tard dans Android ? Je me demande à quel jeu joue Google.

Et je vous le donne dans le mille, le correctif d'octobre déployé sur mon pixel 6 et c'est le correctif à la date du 5 octobre qui est déployé ! J'ai tous les correctifs, sauf la faille WebP. Il y a eu une volonté de la corriger tardivement cette faille, je dois attente le correctif de novembre pour être corrigé, alors que c'est une faille de début septembre et qu'elle est corrigée presque partout ailleurs.

Citation de: vivien le 04 octobre 2023 à 12:47:26

Mise à jour Android 11, Android 12 et Android 13 :

On peut critiquer le retard, Android est dans les derniers systèmes d'exploitation à proposer une mise à jour pour CVE-2023-4863.

Ces dernières semaines, tout le monde se demandaient comment le système Android (pas Chrome) pourrait ne pas être vulnérable à CVE-2023-4863. Aucune annonce n'a été effectuée.

Finalement, Android est bien vulnérable et c'est corrigé dans la mise à jour du 6 octobre à venir. Je ne comprends pourquoi ce n'est pas dans le correctif du 1ᵉʳ octobre, Google proposant également un correctif à cette date-là.

Source : https://source.android.com/docs/security/bulletin/2023-10-01?hl=fr

alain_p · « **Réponse #27 le:** 05 octobre 2023 à 07:59:37 »

Merci pour les infos détaillées. NextInpact a un article sur le sujet :

https://www.nextinpact.com/article/72512/faille-critique-webp-dangers-dune-mauvaise-communication

vivien · « **Réponse #28 le:** 05 octobre 2023 à 08:23:42 »

J'ai contacté son auteur, Vincent Hermann, pour lui demander de faire une mise à jour.

On était étonné de l'absence de corrections de la faille dans Android en septembre.

Lors du Bulletin de sécurité Android d'octobre 2023, j'ai été étonné par le fait de séparer cette faille et de la date du 6 octobre.

Finalement, le correctif déployé s'arrête au 5 octobre et n'intègre pas le correctif daté du 6 octobre : je suis persuadé que Google retarde VOLONTAIREMENT le correctif de la faille WebP CVE-2023-4863 sur Android, vu qu'il faudra maintenant attendre le correctif de novembre, incompréhensible 😱

Quand on regarde le bulletin de sécurité Android d'octobre 2023 :

Niveau du correctif de sécurité du 01/10/2023 :
CVE-2023-21266
CVE-2023-40116
CVE-2023-40120
CVE-2023-40131
CVE-2023-40140
CVE-2023-21291
CVE-2023-40121
CVE-2023-40134
CVE-2023-40136
CVE-2023-40137
CVE-2023-40138
CVE-2023-40139
CVE-2023-40129
CVE-2023-21244
CVE-2023-40117
CVE-2023-40125
CVE-2023-40128
CVE-2023-40130
CVE-2023-40123
CVE-2023-40127
CVE-2023-40133
CVE-2023-40135
CVE-2023-21252
CVE-2023-21253
CVE-2023-40127
CVE-2023-21252

Niveau du correctif de sécurité du 05/10/2023 : correctifs du 01/10/2023 +
CVE-2021-44828
CVE-2022-28348
CVE-2023-4211
CVE-2023-33200
CVE-2023-34970
CVE-2023-20819
CVE-2023-32819
CVE-2023-32820
CVE-2023-40638
CVE-2023-33029
CVE-2023-33034
CVE-2023-33035
CVE-2023-24855
CVE-2023-28540
CVE-2023-33028
CVE-2023-21673
CVE-2023-22385
CVE-2023-24843
CVE-2023-24844
CVE-2023-24847
CVE-2023-24848
CVE-2023-24849
CVE-2023-24850
CVE-2023-24853
CVE-2023-33026
CVE-2023-33027

Niveau du correctif de sécurité du 06/10/2023 : correctifs du 01/10/2023 + correctifs du 05/10/2023 +
CVE-2023-4863 (notre faille WebP)

Le correctif déployé sur les Pixel pour octobre s'arrête au 5/10 et intègre donc tous les correctifs sauf celui sur WebP qui sera corrigé avec le patch de novembre 2023.

Cela pourrait s'expliquer si le correctif est tout récent (ce n'est pas le cas, cela fait presque un mois qu'il est déployé partout), complexe (ceux qui l'ont analysé note sa simplicité). Je ne comprends pas cette volonté de ne pas le corriger, sachant qu'il y a dans la nature tout le nécessaire pour faire des images WebP malveillantes et vu la publicité de ce bug, il doit y avoir des cybercriminels qui se disent qu'il y a une fenêtre de tir intéressante.

Comme le rappelait Google lors de la mise à jour de Chrome début septembre : "Google est conscient qu'un exploit pour CVE-2023-4863 existe dans la nature"

vivien · « **Réponse #29 le:** 05 octobre 2023 à 08:52:56 »

On m'a également demandé si la faille est présente au niveau d’Android ou de Chrome seulement ?

La faille est présente partout où il y a du traitement d'image, d'où la variété des logiciels qui ont publié un correctif.

La sévérité n'est pas la même partout. Par exemple, le correctif LibreOffice parle de "correctif sécurité clé", mais le risque est presque nul : Un document Open Document ne transmet pas d'image WebP : elles sont converties en PNG avant. Donc il n'est pas possible de piéger l'utilisateur avec un document Writer malveillant. Pour exploiter la faille, il faut que l'utilisateur intègre lui-même un fichier malveillant, bref rien de trés réaliste, mais c'est bien de corriger les failles.

Pour Android, le risque est de recevoir un message avec une image WebP malveillante. Là ce n'est pas Chrome qui va décoder l'image, mais Android et il n'est pas corrigé.

Le correctif Android me semble donc important (contrairement au correctif LibreOffice). À noter que Microsoft n'a pas encore annoncé le correctif de Word ou Excel, qui comme LibreOffice permet d'importer une image WebP qui sera convertie avant d'être enregistrée.

alain_p · « **Réponse #30 le:** 05 octobre 2023 à 09:28:56 »

Citation de: vivien le 05 octobre 2023 à 08:23:42

je suis persuadé que Google retarde VOLONTAIREMENT le correctif

Je me demande quel est l'intérêt de Google de retarder ce correctif...

vivien · « **Réponse #31 le:** 05 octobre 2023 à 09:55:44 »

Quel serait le but de Google à ne pas le corriger le bug ?

Aucune idée.
C'est étonnant, car Google est plutôt bon sur la sécurité.

vivien · « **Réponse #32 le:** 05 octobre 2023 à 10:52:17 »

Le patch correctif pour la faille WebP CVE-2023-4863 est dans "Android Open Source Project" depuis le 18 septembre 2023.

Pourquoi le dater dans les correctifs Android au 6 octobre, pour l'exclure de la mise à jour d'octobre ?

Source: https://grapheneos.org/releases#2023091800

Dans Android (différent de "Android Open Source Project"), le correctif passe du 18 septembre au 6 octobre 2023.
Il aurait dû être dans les correctifs datés du 1er octobre.
6 jours qui font au final un mois d'attente supplémentaire et surtout qui font que l'on se pose la question de pourquoi un tel décalage, qui y gagne ?

Source : https://source.android.com/docs/security/bulletin/2023-10-01

vivien · « **Réponse #33 le:** 05 octobre 2023 à 13:50:23 »

On a une explication de la lenteur (le patch WebP CVE-2023-4863 arrivera en novembre sur Android) avec un développeur qui travaille sur Android Open Source Project :

Source : https://twitter.com/wdesportes/status/1709829520075657515

vivien · « **Réponse #34 le:** 05 octobre 2023 à 14:19:49 »

Traduction en français : (voir au-dessus pour la version d'origine en anglais)

GrapheneOS : GrapheneOS a appliqué le correctif en septembre : https://grapheneos.org/releases#2023091800
Nous appliquons également des centaines de correctifs de sécurité du noyau qui ne sont pas encore disponibles dans AOSP [Android Open Source Project] ou dans le système d'exploitation d'origine. Nous appliquons également d'autres correctifs plus tôt. C'est une partie mineure de ce sur quoi nous travaillons, mais nous y consacrons du temps.

Vivien GUEANT : Comment expliquer que le correctif du #WebP CVE-2023-4863 soit daté du 6 octobre ? Le patch déployé sur les smartphones pixel se termine le 5 octobre, ce qui inclut tous les patchs d'octobre, à l'exception du CVE-2023-4863, le seul daté du 6 octobre. Il faudra attendre novembre pour obtenir le correctif.

GrapheneOS : Les dates des niveaux de patch sont arbitraires. AAAA-MM-01 sont les correctifs AOSP [Android Open Source Project], AAAA-MM-05 sont les correctifs liés au noyau et au matériel spécifiques aux périphériques et AAAA-MM-06 est utilisé pour ajouter des correctifs une fois que les niveaux de correctifs standard ont déjà été finalisés. Les niveaux de correctifs incluent tous les niveaux précédents.

Les niveaux de correctifs sont finalisés environ 30 jours avant la sortie. Les correctifs peuvent être supprimés s'ils provoquent des régressions et être déplacés vers une version ultérieure, mais ils ne peuvent pas ajouter de nouveaux correctifs aux niveaux de correctifs qu'ils ont déjà définis, car il existe une période de divulgation standard aux OEM.

Il leur faut des semaines pour qu'une version passe par tous leurs processus de test et de certification. S’ils y vont rapidement, ils peuvent le faire en 15 jours environ. C'est pourquoi ils ne sont pas en mesure d'inclure des correctifs supplémentaires dans leur version sans retarder l'ensemble de la version de plusieurs semaines.

Leur politique est de ne faire qu'une seule version par mois, sinon ils pourraient avoir le correctif WebP disponible dans une nouvelle version dans une semaine ou deux. Le retard est dû à leurs politiques en matière de versions, en particulier à leurs processus de test et de certification. Ils ne sont pas capables d'avancer rapidement.

Vivien GUEANT : Mais le patch est corrigé sur Google Chrome depuis 3 semaines ! Vous comprenez ma surprise de ne pas voir le patch WebP CVE-2023-4863 dans le patch de sécurité d'octobre, alors même que la vulnérabilité est exploitée. Pourquoi le patch distribué dans les smartphones Pixel n'est-il pas celui du 6 octobre ?

GrapheneOS : Notre réponse explique pourquoi ils ne l'ont pas encore inclus : https://twitter.com/GrapheneOS/status/1709864967611036040
Il leur faut normalement 3 à 4 semaines pour qu'une version passe par leurs processus de test/certification. C’est pourquoi la version de septembre basée sur Android 13 a été publiée plus de la moitié du mois.

Ils ont construit la version de septembre le 1er septembre après avoir décidé de retarder Android 14 à octobre. Cette version a été publiée le 18 septembre car c'est le temps qu'il leur faut pour effectuer leurs tests et leur certification lorsqu'ils sont pressés. Cela prend normalement plus de temps.

Ils ne sont pas en mesure de créer une version puis de la publier après quelques jours de tests. Il existe de nombreuses procédures officielles qu'ils se sont engagés à suivre, notamment dans le cadre des accords avec les transporteurs. Ils devraient améliorer considérablement cela, mais c’est ainsi que les choses se passent actuellement.

Ce n'est en aucun cas spécifique à ce patch WebP. Vous n'êtes au courant que de ce cas particulier, mais c'est ainsi que cela fonctionne en général. Il existe des centaines de correctifs de sécurité du noyau inclus dans GrapheneOS qui ne sont pas encore inclus dans AOSP ou dans le système d'exploitation Pixel d'origine, car cela prend encore plus de temps.

Ils ont déjà intégré le patch WebP avant octobre. Ce qui vous manque, c'est qu'ils n'ont pas été autorisés à publier la version incluse dans la mise à jour d'octobre, car elle n'a pas été incluse à temps pour qu'ils puissent terminer un nouveau processus de test/certification de version complète.

Ils se sont probablement également engagés à ne faire qu'une seule mise à jour par mois, les empêchant de publier une version avec le correctif, y compris dans une semaine ou deux. Il sera inclus dans leur mise à jour de novembre. C’est exactement ainsi que fonctionne leur processus de publication et de test/certification. C'est lent.

Le problème n'est pas qu'ils n'ont pas réussi à intégrer rapidement le correctif WebP. Le problème est qu'ils ont pour politique d'effectuer 3 à 4 semaines de tests/certifications pour les versions, qui peuvent être accélérées jusqu'à 2 à 3 semaines dans des situations particulières, mais ils ont dû lancer Android 14 à une date précise.

Ils seraient bientôt en mesure de publier une nouvelle version incluant le correctif WebP une fois les tests/certificats terminés, mais leur politique est de faire 1 mise à jour par mois et cela peut faire partie de leurs accords avec les opérateurs. Les opérateurs n'aiment pas les mises à jour et les tolèrent à peine. Ils ont beaucoup de règles.

Ce n'est pas inhabituel et ce n'est pas quelque chose de nouveau. C’est ainsi que fonctionne le processus de publication et de test/certification. Les problèmes de sécurité urgents découverts début octobre ne seront résolus qu'en décembre, car la version de novembre est déjà en cours de construction.

À cette époque [5 octobre], ils préparent la version de novembre et la soumettent à 3-4 semaines de tests/certification. Si un problème de sécurité est découvert au cours d'une semaine d'exploitation active, ils peuvent choisir de retarder la date de sortie de novembre pour l'inclure ou de le faire en décembre.

Vivien GUEANT : Donc une autre question : Pourquoi le processus de patching est-il beaucoup plus rapide pour Google Chrome que pour Android ? Pour Chrome, il ne semble pas nécessaire d’attendre 3 semaines.

GrapheneOS : Cela s'explique en partie par le fait que Chrome est un navigateur et n'a pas autant de choses à tester qu'un système d'exploitation complet. Chrome a également un cycle de publication beaucoup plus rapide. Chrome publie des versions majeures toutes les 4 semaines plutôt que chaque année, de sorte que les changements se produisent plus progressivement dans Chrome plutôt que d'un seul coup.

Android a une durée de développement beaucoup plus longue et des branches stables. Android 14 est entré en test public en février 2023, mais était en cours de développement avant cette date, et il est maintenant publié comme stable en octobre 2023. Android 13 était toujours activement développé en parallèle jusqu'à ce mois-ci également.

Android est une famille d'OS, pas un OS spécifique. Android compte de nombreux partenaires OEM. Chacun possède des forks d’AOSP et doit intégrer des correctifs de sécurité. Il existe un processus de divulgation de 30 jours pour les niveaux de correctifs afin de leur donner suffisamment de temps pour les gérer et passer par les tests/certifications.

Les opérateurs exigent de longs tests/certifications et ont des règles sur le délai d'expédition des modifications. En premier lieu, ils n’aiment pas les mises à jour. Ils considèrent qu’il s’agit d’un risque énorme et sont peu préoccupés par le fait de laisser les failles de sécurité non corrigées.

Google pourrait envoyer très rapidement des mises à jour des problèmes tels que le correctif WebP pour ses smartphones Pixels, s'ils n'avaient pas les mains liées par les opérateurs et leurs propres processus internes. Ils devraient pouvoir obtenir un correctif critique expédié dans un délai maximum de 72 heures au lieu de 3 à 4 semaines, mais c'est comme ça.

Ce n'est pas vraiment un problème technique et ce n'est donc pas vraiment quelque chose que leurs ingénieurs peuvent résoudre. Ils peuvent faire pression pour que les processus deviennent plus rapides, mais cela implique de négocier de meilleurs accords avec les opérateurs, car ils ne commercialisent pas d'appareil sans le soutien officiel des opérateurs.

Vivien GUEANT : Merci pour toutes les explications. Je comprends mieux. Même si en comparaison, on constate qu'Apple a été très réactif (correction du 6 septembre), mais ils ont probablement moins de contraintes. CVE-2023-41064 et CVE-2023-4863 feraient référence à la même faille WebP.

GrapheneOS : On peut voir que sur Chrome ils l'ont géré rapidement, mais ils ont des retards artificiels majeurs sur Android causés par les processus de publication/test/certification qui n'ont pas d'impact sur Chrome. Il convient de noter qu'Apple prend souvent beaucoup plus de temps pour résoudre un problème, mais ils n'ont pas ces contraintes.

alain_p · « **Réponse #35 le:** 05 octobre 2023 à 14:50:18 »

Donc mise à jour retardée par le processus de vérification, très lourd parce qu'il faut vérifier avec tous les partenaires qui commercialisent Androïd, souvent avec une surcouche, sur leurs smartphones.

Déjà que sur beaucoup de modèles Androïd, la durée de support est faible...
Bon, Pegasus sur Androïd peut encore profiter de la faille pendant plusieurs semaines (voire plus si plus sous support).