Discussion :

[Patrick Ruiz]

KDE Plasma : l’environnement de bureau permet l’exécution de code arbitraire à partir d’une clé USB
Des correctifs sont disponibles

Les utilisateurs de Linux qui font usage de l’environnement de bureau KDE Plasma doivent appliquer des correctifs contre une vulnérabilité qui permet l’exécution de code arbitraire à partir d’une clé USB. L’équipe KDE Plasma a mis les versions 5.8.9 et 5.12.0 à la disposition du public pour corriger la faille référencée CVE-2018-6791.

Le problème réside dans la façon dont l’environnement de bureau interprète les noms de volume. « Lorsqu’une clé USB (formatée en VFAT) qui contient les caractères `` ou $() au sein de son nom de volume est connectée et montée au travers de l’outil de notification de connexion de périphériques (Device Notifier), il [le nom de volume] est interprété comme une commande shell », écrit l’équipe sécurité de KDE dans sa note d’information. « Un exemple de nom de volume malicieux est "$(touch b)". Ce dernier provoque la création d’un fichier appelé b au sein du répertoire home », ajoute l’équipe sécurité KDE.

Dit de façon plus simple pour les non-férus en informatique, un pirate peut insérer du code malicieux dans le nom de volume d’une clé USB et le faire exécuter sur un poste cible. Il suffit que la victime monte le périphérique (formatée pour la circonstance en VFAT par l’attaquant) au travers de KDE pour visualiser son contenu. L’équipe KDE conseille aux utilisateurs qui pour une raison ou pour une autre ne pourront pas effectuer la mise à jour de monter la clé USB via le gestionnaire de fichiers Dolphin. Une autre méthode plus adaptée aux as de l’informatique consisterait aussi à faire usage de la commande mount.

L’exploitation de la faille requiert un accès physique au poste de la victime certes, mais quand on y pense une vulnérabilité de ce type ouvre des portes sans qu’il soit nécessaire que l’attaquant dispose de privilèges particuliers. Un pirate talentueux pourrait s’appuyer sur la véritable vulnérabilité ici qu’est l’homme pour accéder au fameux moteur d’administration Intel présent sur les cartes mères des PC. De plus en plus de fabricants s’attèlent à livrer leurs machines avec ce petit microcontrôleur situé dans le pont sud désactivé. Un accès à ce dernier permettrait alors à l’attaquant de le réactiver. De quoi se frotter les mains ensuite quand on sait que le composant aurait été réservé à des agences gouvernementales américaines pour espionner les possesseurs d’ordinateurs à base de processeurs Intel livrés après 2008.

Source

KDE

Votre opinion

Quels autres cas d'exploitation entrevoyez-vous ?

Voir aussi

La version 5.10 de l'environnement graphique KDE Plasma est disponible en téléchargement, elle embarque des améliorations à différents niveaux

[transgohan]

Mais c'est... Une aberration comme faille ça...
Tout développeur devrait comprendre qu'une fonction eval c'est pas n'importe quoi...
J'en reste tout de même sur le cul...

l’équipe sécurité KDE

J'espère sincèrement que ce ne sont pas eux qui sont à l'origine de ce code... Parce que sinon ils peuvent changer de nom.

[CoderInTheDark]

Avoir un accès physique à la machine n'est pas si compliqué.
Je trouve qu'on minimise trop cela.

Je me rappelle que souvent en entretien, j'avais droit à la face arrière de l'ordinateur, de mon interlocuteur avec les ports USB en évidences et le ventilateur me soufflant de l'air chaud , super agréable en été .

Il suffit de distraire le type et de brancher une mini clef en douce, un modèle bien discret.
Il y a juste le problème du son joué par windows à la connexion d'un nouveau périphériques USB

Si il s'absente c'est encore plus simple.
Ce n'étais pas rare, qu'il y en est qui sorte pour répondre sur leur téléphone portable

Il faudrait condamner les port USB qui ne servent pas sur la face arrière.
Mais je suis peut être un peu parano

Bien sûr je ne l'ai jamais fait et je ne le ferai pas

[a028762]

Déjà que KDE n'est pas une couche très déployée sur Linux, je vois mal un RH utiliser Linux.