Technical blog

Release note for ARender 4.8.0

CVE-2023-4863 - Vulnerabilité dans la librairie Google's libwebp

Cet article détail l'impact indirect de la faille Google's libwebp library dans ARender.

Contexte :


Récemment, une vulnérabilité critique Zero-Day a été découverte dans la bibliothèque webmproject/libwebp de Google (CVE-2023-4863) relative à une image WebP formée de manière malveillante qui permet l'exécution de code à distance et l'écriture hors limites via une attaque par débordement de tampon dans Google Chrome avant 116.0.5845.187 et libwebp 1.3.2.

Cette vulnérabilité critique ne se limite pas à Chromium, mais affecte tout logiciel utilisant la bibliothèque libwebp.

ARender est-il concerné par cette faille de sécurité ?


En ce qui concerne ARender, il est indirectement impacté par ce problème de sécurité car il utilise des outils tiers pour traiter des documents tels que LibreOffice et ImageMagick.

La Document Foundation a publié deux mises à jour de sécurité pour sa populaire suite bureautique open source LibreOffice, 7.6.2 et 7.5.7, afin de corriger la vulnérabilité récemment révélée dans le codec WebP.

ImageMagick a publié la version 7.1.1-17 pour résoudre le problème de sécurité critique

Comment résoudre cette faille de sécurité ?


Pour résoudre ce problème, nous vous invitons à effectuer les mises à niveau suivantes :
Sur Windows :
- Mettre à niveau LibreOffice vers 7.6.2 ou 7.5.7
- Mettez à niveau ImageMagick vers 7.1.1-17 ou supérieur

Sur Linux :
- Mettre à niveau la bibliothèque libwebp vers 1.3.2

Conclusion


ARender est indirectement affecté par la récente vulnérabilité découverte dans la bibliothèque libwebp de Google car ARender Rendition utilise des outils tiers tels que LibreOffice ou ImageMagick pour traiter le document.
Mais ce problème peut être corriger en mettant à niveau les logiciels concernés.

Liens