OrcaSlicer corrige une faille permettant à des fichiers 3MF malveillants de compromettre les données utilisateur
La version 2.3.2 d’OrcaSlicer est sortie cette semaine avec une série importante d’améliorations et de corrections. Parmi les points clés, on retrouve la correction d’une faille de sécurité liée aux fichiers 3MF, ainsi qu’un large ensemble d’améliorations visant à améliorer l’expérience des utilisateurs Linux.
Nous avions couvert la précédente version stable en octobre 2025 et, comme sa prédécesseure, cette mise à jour apporte elle aussi des corrections de bugs et de nouvelles fonctionnalités. Le point le plus marquant reste toutefois la correction d’une vulnérabilité de sécurité liée à l’importation de fichiers 3MF — un problème qui n’avait pas été divulgué auparavant.
Selon les notes de version sur GitHub, le correctif empêche les fichiers .3mf — de plus en plus utilisés pour des projets complexes multi-plateaux ou multicolores — d’écrire des données à des emplacements arbitraires du système. Dans certains cas, cela aurait pu permettre l’exécution de code malveillant.
Les fichiers 3MF sont, en essence, des sortes d’archives ZIP. L’utilisateur n’interagit jamais directement avec eux comme avec un ZIP classique, puisque le slicer gère l’extraction en arrière-plan. Ce type de vulnérabilité, souvent appelé “zip-slip”, exploite justement ce fonctionnement.
SoftFever, mainteneur principal d’OrcaSlicer, explique : « En termes simples : un acteur malveillant pourrait créer un fichier .3mf spécialement conçu qui, une fois ouvert dans Orca Slicer, écrirait silencieusement des fichiers contrôlés par l’attaquant à des emplacements arbitraires du disque — en dehors des zones que le logiciel est censé manipuler… » Il ajoute : « ouvrir simplement un ‘fichier projet’ provenant d’une source non fiable pourrait compromettre votre machine. »
De tels fichiers pourraient théoriquement être publiés sur des plateformes de modèles 3D, apparaître comme des fichiers d’impression ordinaires et exploiter le système lors de leur téléchargement et utilisation. À ce jour, aucun cas d’exploitation réelle n’a été signalé.
« Le problème nous a été signalé de manière responsable par l’utilisateur ‘Zekun Shen’, qui mérite beaucoup de crédit — il a fourni une analyse détaillée, une preuve de concept fonctionnelle et même des instructions précises pour créer un .3mf malveillant », poursuit SoftFever. « Cela nous a permis de comprendre rapidement l’ampleur du problème et de le corriger efficacement. »
Orca Slicer étant un fork de Bambu Studio — lui-même dérivé de PrusaSlicer — se pose naturellement la question de savoir si cette vulnérabilité est également présente en amont dans ces autres slicers.
Un représentant de Bambu Lab a indiqué que « Bambu Studio ne contient pas cette vulnérabilité ». Nous n’avons pas encore reçu de réponse de Prusa concernant la présence éventuelle d’un problème similaire dans son slicer. De toute façon, il est probable que d’autres slicers dérivés de versions d’Orca antérieures à la 2.3.2 devront intégrer ce correctif dans leur code, s’ils ne l’ont pas déjà fait.
Quoi de neuf dans Orca Slicer
Les utilisateurs Linux ont sans doute le plus à gagner avec cette mise à jour. La version 2.3.2 corrige une série de problèmes spécifiques à la plateforme affectant les utilisateurs de bureau Linux : bugs de rendu avec écran noir, erreur de barre de titre dupliquée dans certains gestionnaires de fenêtres, ainsi qu’un support incomplet de Wayland.
Peut-être encore plus important pour les utilisateurs avancés, l’interface en ligne de commande (CLI) — utilisée par les opérateurs de parcs d’imprimantes 3D et ceux qui automatisent leurs workflows de tranchage — est désormais corrigée.
En plus de corriger la vulnérabilité liée aux fichiers 3MF et de soigner l’expérience des utilisateurs Linux, cette nouvelle version d’Orca Slicer ajoute également quelques fonctionnalités visant à améliorer et personnaliser l’expérience utilisateur.
Pour les configurations multi-matériaux à extrudeur unique qui utilisent une tour de purge (wipe tower) afin d’assurer la qualité des impressions, un second type de tour a été ajouté. Auparavant, le modèle d’imprimante déterminait lequel était utilisé, mais désormais le choix est laissé à l’utilisateur. Le “Type 1” reste le réglage par défaut pour les imprimantes Bambu Lab et Qidi Tech, mais les développeurs recommandent à tous les autres utilisateurs — notamment ceux utilisant des systèmes MMU, des coupe-filaments ou des imprimantes à changement d’outils (toolchangers) — d’utiliser la tour “Type 2”.
D’autres changements incluent des ajustements UX et UI, ainsi qu’une série de nouveaux profils d’imprimantes et de matériaux. Pour un aperçu détaillé de toutes les nouveautés de la version 2.3.2 d’OrcaSlicer, consultez les notes de version sur GitHub. Vous pouvez aussi vous rendre sur le site officiel (attention aux fausses versions — elles sont nombreuses en circulation. Le seul site officiel est orcaslicer.com).
À lire également :
- Air propre en atelier : Alveo3D présente les nouveaux extracteurs professionnels FE150 et FE350
- Anycubic's Spring Sale Drops the Multicolor-Printing Kobra X to $279
- Le MMU3 de Prusa reçoit une ultime amélioration de performance avant le passage au DIY pour la Core One L
Vous en avez marre de lire ? Écoutez notre podcast !
Licence : Le texte de l'article "OrcaSlicer corrige une faille permettant à des fichiers 3MF malveillants de compromettre les données utilisateur" écrit par All3DP est publié sous la licence Creative Commons Attribution 4.0 International (CC BY 4.0).