Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un chercheur en sécurité révèle des failles zero day sur Fedora et Ubuntu
Remettant en question la sécurité des systèmes Linux

Le , par Coriolan

142PARTAGES

10  0 
Si vous utilisez une des distributions populaires de Linux comme Ubuntu et Fedora (y compris la dernière version Fedora 25 publiée récemment), il y a de fortes chances que vous soyez vulnérable à des failles zero-day décelées par Chris Evans. Si elles sont dument exploitées, ces vulnérabilités permettent de mettre à mal la sécurité des utilisateurs de Linux à travers la manipulation d’un simple fichier audio. Ces failles sont d'autant plus intéressantes puisqu’elles remettent en question la prétention selon laquelle Linux serait plus robuste face à ces types d’attaques qui ont hanté les utilisateurs de Windows pendant plus d’une décennie et qui ont commencé à prendre en piège les utilisateurs du Mac également ces dernières années.

Le chercheur de sécurité Chris Evans a publié dans un billet de blog les détails concernant ces vulnérabilités qui pourraient être utilisées pour compromettre la sécurité des systèmes tournant sous Linux. Bien que ces attaques ne devraient pas menacer les serveurs Linux, elles sont susceptibles de compromettre la sécurité de l’ensemble des versions desktop de Linux qui sont largement adoptées par les employés de grandes firmes, telles que Google, Facebook dans le but d’éviter les entraves à la sécurité que ça soit dans Windows ou MacOS.

Selon les détails présentés par Chris Evans, le simple fait d’ouvrir un fichier de musique permettra de mener des attaques sur des machines Linux. Et si par hasard un utilisateur de Fedora 25 (la dernière version de la distribution) utilise Chrome, l’attaquant pourra exécuter à distance le code malicieux. Une des vulnérabilités qui permettent ces attaques exploite une faille dans une bibliothèque logicielle connue sous le nom Game Music Emu et qui est utilisée pour émuler la musique des consoles de jeux vidéos comme la SNES.

Un fichier .spc, créé spécialement pour la SNES, peut être utilisé pour exécuter n’importe quel code malicieux. En renommant ce fichier en .flac ou .mp3, les utilisateurs seront amenés à exécuter ce code. Et justement, le fichier .flac permet de mener une attaque de type drive-by quand un utilisateur de Fedora 25 visite une page web piégée. Rien qu’en cliquant sur le fichier, le fichier ouvre la calculatrice. Avec une modification, il pourra charger n’importe quel code et l’exécuter avec les mêmes privilèges système accordés à l’utilisateur. Une telle attaque peut par exemple servir à lire et dérober les données personnelles de l’utilisateur comme ses documents, photos, e-mails et l’historique de chat. L’attaquant pourra aussi mettre la main sur les cookies du navigateur et les sessions de Gmail, Facebook, Twitter et les autres sites. Pire encore, si l’attaquant arrive à acquérir les privilèges root, il aura le contrôle total du système et l’attaque va persister même après des redémarrages consécutifs.


Une démo similaire montre comment l’attaque marche également sur Ubuntu :


Evans a expliqué que l’origine de ces failles est le non-recours au sandboxing (bac à sable) pour l'exécution de logiciels avec moins de risques pour le système d'exploitation. Selon lui, cette technique devrait être obligatoire de nos jours. Il a tenu à rappeler également que sa démonstration a été tenue exclusivement sur Fedora et Ubuntu, mais d’autres distributions seraient probablement concernées aussi.

Source : Scarybeastsecurity

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Forum Sécurité

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Tagashy
Membre averti https://www.developpez.com
Le 19/12/2016 à 9:42
Cette vulnérabilité est deja vielle de 2 ou 3 semaines et il me semble qu'un patch est deja disponible.
Pour ceux que ca intéresse la vuln se base sur le fait que les lecteurs de musique ne se base pas sur l'extension de fichier (.mp3 .flac etc ...) mais sur une analyse des header du fichier pour detecter le codec a utilisé.
7  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 19/12/2016 à 6:59
Citation Envoyé par bloginfo Voir le message
En fait, si j'ai bien compris, il s'agit d'une faille touchant Chrome sur Linux ! La parade est simple : ne pas utiliser Chrome.
Non, justement. La faille est sur la lecture de faux fichiers de musique, gérés par un programme bel et bien installé sur la machine. Chrome permet juste de profiter à distance de l'exploit (en accédant au faux fichier depuis une page Web).
6  0 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 18/12/2016 à 12:44
Citation Envoyé par Coriolan Voir le message
Un chercheur de sécurité révèle des failles zero day sur Fedora et Ubuntu remettant en question la sécurité des systèmes Linux
c'est sans doute pas une nouvelle hyper transcendante (des 0days y'en a toujours eu sur tous les systèmes et ça fait des années qu'on sait que Windows est la cible privilégiée des chercheurs en sécu), à part peut-être pour Aeson qui verra là à coup sûr l'occasion d'alimenter abondamment le conflit imaginaire et stérile Windows VS Linux
6  1 
Avatar de Max Lothaire
Membre confirmé https://www.developpez.com
Le 19/12/2016 à 11:39
Il faudrait revoir la manière dont on choisit les titres et les sous-titres.
Ici, ça donne l'impression que cette faille suffirait à elle seule à mettre ces distribution à la poubelle. S'il suffisait d'une vulnérabilité de ce genre pour faire ça, Windows ne serait plus qu'un vague souvenir depuis presque trente ans.

Je veux bien que l'on doit attirer le lecteur, mais là ça ressemble à un appât à troll .
5  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 19/12/2016 à 11:02
Citation Envoyé par AoCannaille Voir le message
Sur le concept je suis d'accord, en particulier d'un point de vue développeur, mais en tant qu'ergonome, remonter des erreurs techniques à la tête de l'utilisateur est pas spécialement agréable...
Tout est une question de présentation : on peut simplement dire que le fichier se présente comme étant de type A mais que son contenu montre qu'il est de type B, et donc qu'il est possible que le fichier soit corrompu ou qu'il ait un but différent de celui attendu par l'utilisateur. De là tu demandes la confirmation de l'ouverture/exécution. C'est du même acabit qu'un fichier zip corrompu : tu informes l'utilisateur dans un langage non technique en disant que le fichier est corrompu et donc ne peut pas être décompressé. La seule différence est qu'au lieu d'un unique "OK" tu donnes le choix entre ne pas lancer le fichier, le lancer en tant que A, ou le lancer en tant que B. N'importe quel utilisateur lambda arrêtera par peur ou forcera le lancement comme fichier de musique (qui ne marchera pas et donc arrêtera). Seuls les quelques aventuriers tenteront bêtement le type réel.

Quand on a un choix à faire, si on manque d'information c'est généralement le statu quo qui gagne, donc je ne doute pas que le simple fait de signaler cette incohérence suffirait a drastiquement réduire les risques.
3  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 19/12/2016 à 10:20
Je confirme pour le patch:
http://news.softpedia.com/news/game-...w-511022.shtml
As of December 15, 2016, Game Music Emulator 0.6.1 is available and fully patched against the security flaw mentioned above. It also looks like the Debian and Ubuntu developers have updated the game-music-emu packages for Debian GNU/Linux 8 "Jessie", Debian Sid, Ubuntu 12.04 LTS, 14.04 LTS, 16.04 LTS, 16.10, and 17.04.
A peine publiée mais déjà patchée depuis 4 jours
2  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 19/12/2016 à 10:35
Citation Envoyé par imikado Voir le message
Je confirme pour le patch:
http://news.softpedia.com/news/game-...w-511022.shtml

A peine publiée mais déjà patchée depuis 4 jours
Voilà le genre de chose qu'on ne voit pas sous Windows, et pourquoi ceux qui cherchent des poux à Linux sur cet aspect peuvent aller se recoucher.

Troll assumé. {^_^}v

Citation Envoyé par imikado Voir le message
Je suis d'accord que tout système devrait avertir d'une incohérence de ce type, ça éviterait bien des soucis
De même pour moi.
3  1 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 19/12/2016 à 17:39
Citation Envoyé par Squisqui Voir le message
Le comportement que j'ai décrit est celui que j'ai toujours observé auprès des personnes qui ne font pas la différence entre Internet et Facebook. Bien sûr, on peut toujours remettre en cause mon observation personnel, mais Microsoft a déjà travaillé sur ce genre de problème.
Tu dis qu'il faudrait avertir l'utilisateur lorsqu'il y a une incohérence entre l'extension et le type MIME, c'est très bien sur le papier, dans la réalité, non.
Microsoft a tenté la même démarche en avertissant l'utilisateur lorsqu'un programme tente de modifier le PC. Ça aurait pu éviter que les gens exécute n'importe quoi, mais dans la réalité, c'est juste un clic supplémentaire qui fait grogner. Depuis, l'UAC a été allégé à partir de Windows 7 pour que ceux qui cliquent sans réfléchir le fasse sans grogner.
Ce qui fait grogner, c'est pas le fait d'avoir le message mais de l'avoir tout le temps pour tout et n'importe quoi, tout simplement parce que Windows a été conçu comme une passoire et qu'ils ont corriger le tire à coup de frappe chirurgicale dont les US sont maîtres en la matière (i.e. on met des contrôles partout plutôt que là où y'a besoin). A contrario, on utilise souvent des fichiers dont le type MIME ne correspond pas à l'extension ? Non ! Donc tu assimiles le défaut des messages récurrents, prônes à l'habitude et la frustration, à des messages exceptionnels, prônes à l'étonnement et donc à la considération. Bref, ta comparaison est juste à côté de la plaque.

Ensuite, le problème Windows du ".jpg.exe" où on ne voit que la première extension est de faire croire à un type de fichier alors que c'en est un autre. Problème résolu sous Windows en affichant les extensions (cachées par défaut). Ici encore, le problème est le même : on fait passer un type de contenu (script) par un autre (ici mp3), et la solution est, encore une fois, de montrer le type effectif et non le type apparent (ici en passant par exemple par le message d'erreur).

Enfin, le fait qu'il y ait des gens qui font tout et n'importe quoi ne met en rien à mal mon argument, pour la simple raison que tu pourras faire tout ce que tu veux, ces gens là continueront à faire n'importe quoi. Il y a des gens qui se font avoir non pas parce qu'ils y vont au petit bonheur la chance, mais parce qu'ils ont eu une info corrompue ne leur permettant pas de faire un choix informé. C'est ceux-là qu'il faut viser. Pour la simple raison que c'est ceux-là qui ont besoin de cette information car, eux, l'utilisent. Ceux qui s'en foutent n'en on rien à faire qu'on corrige ou pas, donc ceux là n'entrent pas en ligne de compte.

Libre à toi de jouer les protecteurs de ceux que tu estime être trop cons pour utiliser nos outils, mais je préfère me focaliser sur des besoins assumés que j'estime pertinents. Car à ce tarif là on est bon pour mettre une camisole à tout le monde. Ce qui me permet de conclure sur ton introduction :
Citation Envoyé par Squisqui Voir le message
Tu es un utilisateur averti donc non représentatif.
Un utilisateur averti en vaut deux : quand tu sais qu'une info est nécessaire pour juger correctement, tu la fournis, point final. Le reste, c'est une question de présentation. C'est pas parce que M$ a fait des choix ergonomiques pourris (qu'il continue à faire d'ailleurs, utiliser W10 au boulot me le rappelle chaque jour) que toute tentative similaire est forcément pourrie aussi. C'est une chose de trouver une évidence, c'en est une autre de la présenter correctement. Les échecs des uns n'amènent pas nécessairement l'échec aux autres.
2  0 
Avatar de bloginfo
Membre à l'essai https://www.developpez.com
Le 19/12/2016 à 6:32
En fait, si j'ai bien compris, il s'agit d'une faille touchant Chrome sur Linux ! La parade est simple : ne pas utiliser Chrome.
1  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 19/12/2016 à 9:04
Mais c'est à la condition d'obtenir lesdits privilèges. On ne parle pas d'un exploit qui permette de les obtenir, seulement que si un utilisateur tourne en root (alors qu'il n'est pas censé en avoir besoin pour écouter de la musique ou parcourir le Web) il prend les risques habituels qu'on reproche à Windows et pas à Linux.
1  0