fr.wedoany.com Rapport : Une start-up de sécurité nommée depthfirst a utilisé un agent d’IA autonome pour analyser environ 1,5 million de lignes de code C de la bibliothèque multimédia open source FFmpeg, et a découvert 21 vulnérabilités zero-day jusqu’alors inconnues, chacune accompagnée d’une entrée de preuve de concept (PoC) reproductible. L’entreprise indique que le coût de cette exécution était d’environ 1 000 dollars. Certaines de ces vulnérabilités étaient latentes depuis 15 à 20 ans ; un problème de débordement de pile dans le code de la table de description de service remonte à 2003, soit 23 ans.
Ces vulnérabilités se concentrent principalement dans les analyseurs et les démultiplexeurs, impliquant des composants tels que le démultiplexeur TS et le décodeur VP9, et sont pour la plupart des débordements de tas ou de pile. Le rapport de depthfirst liste neuf identifiants CVE (CVE-2026-39210 à CVE-2026-39218) et précise que les autres vulnérabilités ont été corrigées mais n’ont pas encore reçu de numéro. L’entreprise a également publié un PoC.
La même semaine, Google a publié la version 149 de Chrome, corrigeant 429 failles de sécurité, un record pour une seule version. Plus de 100 d’entre elles sont classées comme critiques ou de haute sévérité, les problèmes étant principalement des use-after-free et des validations d’entrée insuffisantes. La faille la plus grave est CVE-2026-10881 (CVSS 9,6), une vulnérabilité de lecture/écriture hors limites dans le moteur graphique ANGLE, pour laquelle Google a versé 97 000 dollars. Parmi les failles corrigées, la plupart ont été découvertes en interne par Google : seulement 10 des quelque 90 vulnérabilités de haute sévérité proviennent de chercheurs externes, et 19 des 22 vulnérabilités critiques proviennent de ses équipes internes. Cependant, Google n’a pas directement associé les 429 failles à l’IA.
Google a précédemment réformé son programme de primes aux bugs en avril pour faire face à un grand nombre de rapports générés par l’IA, exigeant désormais des soumissionnaires qu’ils fournissent des étapes de reproduction concises. L’agent Big Sleep de Google a signalé l’année dernière une série de vulnérabilités dans FFmpeg, désormais visibles sur la page de sécurité du projet avec la mention BIGSLEEP ; le modèle Mythos d’Anthropic a extrait de FFmpeg une vulnérabilité H.264 vieille de 16 ans, ainsi que d’autres, pour un coût d’environ 10 000 dollars, dont trois ont été corrigées dans FFmpeg 8.1. De plus, un autre outil autonome a découvert une vulnérabilité d’exécution de code à distance authentifiée dans Redis, présente depuis plus de deux ans dans la version 7.2.0. Les recherches montrent également qu’une étude de février a permis à un agent de reproduire plus de la moitié des PoC valides parmi 100 vulnérabilités N-day réelles du noyau Linux, surpassant le fuzzing.
Pour les utilisateurs de FFmpeg, il est conseillé de récupérer dès que possible les versions amont corrigées ou les mises à jour de sécurité des distributions, en priorisant tout composant traitant des flux RTSP ou AV1-over-RTP non fiables. FFmpeg est largement intégré dans les pipelines multimédia, les wheels Python, les images de conteneurs et les appareils ; les copies embarquées nécessitent également des correctifs. Pour les utilisateurs de Chrome, il faut mettre à jour vers la version 149.0.7827.53 sous Linux, ou vers la version 149.0.7827.53/54 sous Windows et macOS, ou vérifier que la mise à jour automatique a été exécutée.
La découverte de vulnérabilités est devenue peu coûteuse, mais les étapes de classification des rapports, de publication des correctifs et de poussée des utilisateurs à installer ces correctifs reposent encore principalement sur des bénévoles et un petit nombre de trieurs humains ; ce travail doit suivre le rythme de la découverte pilotée par l’IA.
Texte compilé par Wedoany. Toute citation par IA doit mentionner la source « Wedoany ». En cas de contrefaçon ou d'autre problème, veuillez nous en informer rapidement ; nous modifierons ou supprimerons le contenu le cas échéant. Courriel : news@wedoany.com
