Selon l'expert en sécurité, une exploitation réussie de ces failles va donner à un hacker la possibilité d'exécuter à distance du code malveillant sur un ordinateur tournant sous Ubuntu 12.10 et plus. Pour ce faire, Donncha O'Cearbhaill soutient que la victime est invitée à télécharger un fichier malicieux qui s'attellera à faire une analyse approfondie du fichier de reporting des bogues afin d'identifier les vulnérabilités. Au terme de l'analyse, un code malveillant écrit en Python sera exécuté.
Dans son billet, l'expert en sécurité précise que le code arbitraire va d'abord vérifier si le champ CrashDB de l'outil de reporting commence par {indiquer le début d'un dictionnaire Python. Lorsque le résultat de la recherche lui sera favorable, c'est-à-dire que le champ CrashDB contient les informations recherchées, la fonction Python builtin eval() sera appelée avec comme paramètre la valeur du champ CrashDB. La fonction eval() va ensuite s'exécuter pour permettre le chargement des données de configuration du CrashDB directement à partir du champ crashDB et non à partir d'un fichier local. Les données ainsi chargées vont se comporter comme du code Python classique entraînant ainsi l’ouverture de la calculatrice Gnome.
Dooncha rappelle que les éléments de configuration du champ CrashDB sont stockés dans le /etc/apport/crashdb.conf.d directory. Il précise que le champ CrashDB peut être utilisé pour charger un fichier de configuration à partir de ce répertoire.
Pour mieux étayer ses dires, Donncha O'Cearbhaill a partagé une vidéo de démonstration dans laquelle il montre qu'il est bien possible de prendre le contrôle d'une machine fonctionnant sous le système d'exploitation Ubuntu grâce un fichier malveillant.
https://vimeo.com/194867494
Le chercheur en sécurité a également mis sur Github le code complet qui lui a permis d'exploiter ces vulnérabilités.
Donncha O'Cearbhaill nous informe que cette ces failles ont été corrigées depuis le 14 décembre dernier grâce à une mise à jour corrective déployée par Canonical. Cependant, il invite tous les chercheurs en sécurité à auditer les logiciels libres et open sources qu'ils utilisent. Il déclare même que des projets tels que Tor, Tails, Debian et Ubuntu ont tous besoin d'être contrôlés afin d'assurer la sécurité des internautes les utilisant.
Source : blog de Donncha
Et vous ?
Qu'en pensez-vous ?