Six vulnérabilités ont été détectées dans protobuf.js, une bibliothèque clé pour Node.js, permettant l'exécution de code à distance ou un déni de service. Le problème n'est pas seulement technique : les mainteneurs du projet sont des bénévoles sans financement, tandis que des géants comme Google l'utilisent sans contribuer à sa sécurité.
Défauts de sérialisation qui ouvrent la porte aux attaques 🛡️
Les vulnérabilités affectent la manipulation des tampons et la validation des types dans protobuf.js, permettant à un attaquant d'envoyer des messages malformés qui débordent la mémoire ou exécutent du code arbitraire. La racine du problème réside dans le manque de ressources pour des audits continus. De grandes entreprises dépendent de cette bibliothèque pour des systèmes critiques, mais n'investissent pas dans sa maintenance, laissant la sécurité entre les mains de quelques développeurs non rémunérés.
L'open source : là où les entreprises demandent, mais ne paient pas 💸
Google, Amazon et d'autres utilisent protobuf.js pour déplacer des données dans leurs clouds, mais lorsque des failles apparaissent, le correctif est écrit par un bénévole entre deux quarts de travail de son emploi réel. C'est comme demander à son voisin de surveiller gratuitement votre maison, et quand un voleur entre, se plaindre qu'il n'a pas mis de meilleurs verrous. Le citoyen fait confiance à des systèmes qui tiennent avec du café et de la bonne volonté, tandis que les entreprises facturent des millions.