Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Membre expérimenté
    Avatar de emixam16
    Homme Profil pro
    Doctorant en sécurité
    Inscrit en
    juin 2013
    Messages
    263
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Aube (Champagne Ardenne)

    Informations professionnelles :
    Activité : Doctorant en sécurité

    Informations forums :
    Inscription : juin 2013
    Messages : 263
    Points : 1 353
    Points
    1 353
    Par défaut Une faille dans KDE permet de corrompre un ordinateur sans même ouvrir le fichier malicieux
    Une faille dans KDE permet de corrompre un ordinateur sans même ouvrir le fichier malicieux
    Un correctif doit être mis en place rapidement

    Dans un post gist du 27 juillet 2019, Dominik Penner, aussi connu sous le nom de zer0pwn a révélé une faille assez originale visant l’environnement KDE puisqu’elle permet d’injecter une commande arbitraire sans même avoir besoin d’ouvrir le fichier malveillant ! Ainsi, il suffit que le fichier soit affiché, par exemple dans l’explorateur de fichier ou d’archive de KDE pour que la commande soit exécutée. Cette faille touche à la fois KDE 4 et 5 (aussi connu sous le nom de Plasma). Pour rappel, KDE est inclus par défaut dans de plusieurs distributions comme OpenSuse ou Kubuntu et est installable depuis la plupart des autres.

    Techniquement, cette faille est due à un problème de conception dans la vérification des entrées utilisateurs. Cette faille concerne les fichiers .desktop et .directory, qui permettent notamment d’afficher une icône personnalisée pour un fichier. Toutefois, si une commande shell arbitraire est passée en paramètre à certaines entrées de ce fichier, elle sera exécutée lors du parsing de ce fichier, pouvant conduire à une compromission du système, comme illustré par l’exemple suivant.


    Code bash : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    $cat .directory
    [Desktop Entry]
    Type=Directory
    Icon[$e]=$(echo${IFS}0>~/Desktop/zero.lol&)


    Pour être exécutée, cette faille nécessite tout de même de télécharger un fichier .desktop ou .directory, ce qui est assez inhabituel sous Linux et peut donc éveiller les soupçons d’utilisateurs expérimentés. Il est possible de rendre cette attaque plus discrète en mettant le fichier incriminé dans une archive quelconque. Il semble donc que le principal vecteur d'infection par cette attaque soit le social engineering. Aussi, si vous utilisez KDE, il est conseillé de faire attention à vos téléchargements le temps que cette faille soit corrigée.



    Cette faille a été mise en ligne sans avertir préalablement la communauté KDE, ce qui a pu causer des réactions négatives de la part d’une partie de la communauté. Lors d’une interview, Penner a déclaré :

    Citation Envoyé par zer0pwn
    Je voulais juste publier la 0day avant la Defcon. Je prévois de le signaler, mais le problème est davantage un défaut de conception qu'une vulnérabilité réelle, malgré ses capacités.
    Ce n’est pas la première fois qu’une vérification incorrecte des entrées utilisateur concernant les fichiers de métadonnées est observée, que ce soit sous Linux ou Windows. Il semble probable que de tels défauts de conception soient retrouvés dans le futur dans les systèmes.

    Source : GitHub

    Et vous qu’en pensez-vous ?

    Cette faille vous semble-t-elle facilement exploitable dans des systèmes réels ?
    Est-il acceptable de publier une faille sans informer d’abord les responsables de la sécurité ?

  2. #2
    Membre expérimenté

    Profil pro
    Inscrit en
    janvier 2014
    Messages
    748
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2014
    Messages : 748
    Points : 1 724
    Points
    1 724
    Par défaut
    Est-il acceptable de publier une faille sans informer d’abord les responsables de la sécurité ?
    Non. Maintenant, je me demande bien quel en est la raison.
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  3. #3
    Membre expérimenté
    Avatar de emixam16
    Homme Profil pro
    Doctorant en sécurité
    Inscrit en
    juin 2013
    Messages
    263
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Aube (Champagne Ardenne)

    Informations professionnelles :
    Activité : Doctorant en sécurité

    Informations forums :
    Inscription : juin 2013
    Messages : 263
    Points : 1 353
    Points
    1 353
    Par défaut
    Citation Envoyé par Steinvikel
    Est-il acceptable de publier une faille sans informer d’abord les responsables de la sécurité ?
    Non. Maintenant, je me demande bien quel en est la raison.
    Oh, j'ai oublié de rajouter cette information dans l'article visiblement!
    L'auteur voulait révéler la faille avant la conférence Black Hat (une grosse références pour la cybersécurité). Cette conférence s'est déroulée du 3 Août jusqu'à hier. Il n'est donc pas passé par le chemin classique de publication pour que cette faille puisse être montré lors de cette conférence, rendant les utilisateurs de KDE vulnérables en attendant le patch...

  4. #4
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 847
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 847
    Points : 7 824
    Points
    7 824
    Par défaut
    en clair c'est un gamin, plein de chocapicz et de lolz, très compétent, en quête de gloire, et très immature, le genre que les services de renseignement se font un plaisir de recruter à la sortie de l'école.
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  5. #5
    Expert éminent sénior
    Avatar de Jipété
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    8 543
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : juillet 2006
    Messages : 8 543
    Points : 12 171
    Points
    12 171
    Par défaut Erreur dans le titre !
    Citation Envoyé par emixam16 Voir le message
    sans même avoir besoin d’ouvrir le fichier malveillant ! Ainsi, il suffit que le fichier soit affiché, par exemple dans l’explorateur de fichier ou d’archive de KDE pour que la commande soit exécutée.
    Hopopop !

    Le fichier est donc ouvert, si ce n'est par l'utilisateur, c'est par le système (ça me semblait un peu trop magique, ce titre).
    Il a à vivre sa vie comme ça et il est mûr sur ce mur se creusant la tête : peutêtre qu'il peut être sûr, etc.
    Oui, je milite pour l'orthographe et le respect du trait d'union à l'impératif.
    Après avoir posté, relisez-vous ! Et en cas d'erreur ou d'oubli, il existe un bouton « Modifier », à utiliser sans modération
    On a des lois pour protéger les remboursements aux faiseurs d’argent. On n’en a pas pour empêcher un être humain de mourir de misère.
    Mes 2 cts,
    --
    jp

  6. #6
    Membre actif
    Profil pro
    Inscrit en
    août 2007
    Messages
    130
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2007
    Messages : 130
    Points : 218
    Points
    218
    Par défaut
    Pas de panique
    Citation Envoyé par emixam16 Voir le message
    Il n'est donc pas passé par le chemin classique de publication pour que cette faille puisse être montré lors de cette conférence, rendant les utilisateurs de KDE vulnérables en attendant le patch...
    En fait non. Si on lit sa description à la toute dernière ligne il est indiqué:
    Recomendation:
    Disable shell expansion / dynamic entries for [Desktop Entry] configurations.
    Cela suffit à éviter l'exploitation de ce bug de conception, et pour ce faire il y a la doc => https://userbase.kde.org/KDE_System_...hell_Expansion
    "Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux."
    Benjamin Franklin

Discussions similaires

  1. Une faille dans WordPress permet de mettre les sites hors service
    Par Patrick Ruiz dans le forum Sécurité
    Réponses: 0
    Dernier message: 06/02/2018, 16h09
  2. Réponses: 4
    Dernier message: 20/01/2018, 11h18
  3. Réponses: 1
    Dernier message: 20/11/2017, 11h58
  4. Réponses: 10
    Dernier message: 28/10/2010, 11h47
  5. Une faille dans QuickTime permet une attaque par drive-by sur IE
    Par Katleen Erna dans le forum Actualités
    Réponses: 1
    Dernier message: 31/08/2010, 19h20

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo