KDE Plasma : l'environnement de bureau permet l'exécution de code arbitraire à partir d'une clé USB
Des correctifs sont disponibles
Le 2018-02-13 08:05:17, par Patrick Ruiz, Chroniqueur Actualités
Les utilisateurs de Linux qui font usage de l’environnement de bureau KDE Plasma doivent appliquer des correctifs contre une vulnérabilité qui permet l’exécution de code arbitraire à partir d’une clé USB. L’équipe KDE Plasma a mis les versions 5.8.9 et 5.12.0 à la disposition du public pour corriger la faille référencée CVE-2018-6791.
Le problème réside dans la façon dont l’environnement de bureau interprète les noms de volume. « Lorsqu’une clé USB (formatée en VFAT) qui contient les caractères `` ou $() au sein de son nom de volume est connectée et montée au travers de l’outil de notification de connexion de périphériques (Device Notifier), il [le nom de volume] est interprété comme une commande shell », écrit l’équipe sécurité de KDE dans sa note d’information. « Un exemple de nom de volume malicieux est "$(touch b)". Ce dernier provoque la création d’un fichier appelé b au sein du répertoire home », ajoute l’équipe sécurité KDE.
Dit de façon plus simple pour les non-férus en informatique, un pirate peut insérer du code malicieux dans le nom de volume d’une clé USB et le faire exécuter sur un poste cible. Il suffit que la victime monte le périphérique (formatée pour la circonstance en VFAT par l’attaquant) au travers de KDE pour visualiser son contenu. L’équipe KDE conseille aux utilisateurs qui pour une raison ou pour une autre ne pourront pas effectuer la mise à jour de monter la clé USB via le gestionnaire de fichiers Dolphin. Une autre méthode plus adaptée aux as de l’informatique consisterait aussi à faire usage de la commande mount.
L’exploitation de la faille requiert un accès physique au poste de la victime certes, mais quand on y pense une vulnérabilité de ce type ouvre des portes sans qu’il soit nécessaire que l’attaquant dispose de privilèges particuliers. Un pirate talentueux pourrait s’appuyer sur la véritable vulnérabilité ici qu’est l’homme pour accéder au fameux moteur d’administration Intel présent sur les cartes mères des PC. De plus en plus de fabricants s’attèlent à livrer leurs machines avec ce petit microcontrôleur situé dans le pont sud désactivé. Un accès à ce dernier permettrait alors à l’attaquant de le réactiver. De quoi se frotter les mains ensuite quand on sait que le composant aurait été réservé à des agences gouvernementales américaines pour espionner les possesseurs d’ordinateurs à base de processeurs Intel livrés après 2008.
Source
KDE
Votre opinion
Quels autres cas d'exploitation entrevoyez-vous ?
Voir aussi
La version 5.10 de l'environnement graphique KDE Plasma est disponible en téléchargement, elle embarque des améliorations à différents niveaux
Le problème réside dans la façon dont l’environnement de bureau interprète les noms de volume. « Lorsqu’une clé USB (formatée en VFAT) qui contient les caractères `` ou $() au sein de son nom de volume est connectée et montée au travers de l’outil de notification de connexion de périphériques (Device Notifier), il [le nom de volume] est interprété comme une commande shell », écrit l’équipe sécurité de KDE dans sa note d’information. « Un exemple de nom de volume malicieux est "$(touch b)". Ce dernier provoque la création d’un fichier appelé b au sein du répertoire home », ajoute l’équipe sécurité KDE.
Dit de façon plus simple pour les non-férus en informatique, un pirate peut insérer du code malicieux dans le nom de volume d’une clé USB et le faire exécuter sur un poste cible. Il suffit que la victime monte le périphérique (formatée pour la circonstance en VFAT par l’attaquant) au travers de KDE pour visualiser son contenu. L’équipe KDE conseille aux utilisateurs qui pour une raison ou pour une autre ne pourront pas effectuer la mise à jour de monter la clé USB via le gestionnaire de fichiers Dolphin. Une autre méthode plus adaptée aux as de l’informatique consisterait aussi à faire usage de la commande mount.
L’exploitation de la faille requiert un accès physique au poste de la victime certes, mais quand on y pense une vulnérabilité de ce type ouvre des portes sans qu’il soit nécessaire que l’attaquant dispose de privilèges particuliers. Un pirate talentueux pourrait s’appuyer sur la véritable vulnérabilité ici qu’est l’homme pour accéder au fameux moteur d’administration Intel présent sur les cartes mères des PC. De plus en plus de fabricants s’attèlent à livrer leurs machines avec ce petit microcontrôleur situé dans le pont sud désactivé. Un accès à ce dernier permettrait alors à l’attaquant de le réactiver. De quoi se frotter les mains ensuite quand on sait que le composant aurait été réservé à des agences gouvernementales américaines pour espionner les possesseurs d’ordinateurs à base de processeurs Intel livrés après 2008.
Source
KDE
Votre opinion
Voir aussi
-
transgohanExpert éminentMais c'est... Une aberration comme faille ça...
Tout développeur devrait comprendre qu'une fonction eval c'est pas n'importe quoi...
J'en reste tout de même sur le cul...l’équipe sécurité KDEle 13/02/2018 à 10:20 -
CoderInTheDarkMembre émériteAvoir un accès physique à la machine n'est pas si compliqué.
Je trouve qu'on minimise trop cela.
Je me rappelle que souvent en entretien, j'avais droit à la face arrière de l'ordinateur, de mon interlocuteur avec les ports USB en évidences et le ventilateur me soufflant de l'air chaud , super agréable en été.
Il suffit de distraire le type et de brancher une mini clef en douce, un modèle bien discret.
Il y a juste le problème du son joué par windows à la connexion d'un nouveau périphériques USB
Si il s'absente c'est encore plus simple.
Ce n'étais pas rare, qu'il y en est qui sorte pour répondre sur leur téléphone portable
Il faudrait condamner les port USB qui ne servent pas sur la face arrière.
Mais je suis peut être un peu parano
Bien sûr je ne l'ai jamais fait et je ne le ferai pasle 13/02/2018 à 10:50 -
a028762Membre confirméDéjà que KDE n'est pas une couche très déployée sur Linux, je vois mal un RH utiliser Linux.le 13/02/2018 à 11:19