Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une faille dans KDE permet de corrompre un ordinateur sans même ouvrir le fichier malicieux
Un correctif doit être mis en place rapidement

Le , par emixam16

23PARTAGES

8  0 
Dans un post gist du 27 juillet 2019, Dominik Penner, aussi connu sous le nom de zer0pwn a révélé une faille assez originale visant l’environnement KDE puisqu’elle permet d’injecter une commande arbitraire sans même avoir besoin d’ouvrir le fichier malveillant ! Ainsi, il suffit que le fichier soit affiché, par exemple dans l’explorateur de fichier ou d’archive de KDE pour que la commande soit exécutée. Cette faille touche à la fois KDE 4 et 5 (aussi connu sous le nom de Plasma). Pour rappel, KDE est inclus par défaut dans de plusieurs distributions comme OpenSuse ou Kubuntu et est installable depuis la plupart des autres.

Techniquement, cette faille est due à un problème de conception dans la vérification des entrées utilisateurs. Cette faille concerne les fichiers .desktop et .directory, qui permettent notamment d’afficher une icône personnalisée pour un fichier. Toutefois, si une commande shell arbitraire est passée en paramètre à certaines entrées de ce fichier, elle sera exécutée lors du parsing de ce fichier, pouvant conduire à une compromission du système, comme illustré par l’exemple suivant.

Code bash : Sélectionner tout
1
2
3
4
$cat .directory 
[Desktop Entry] 
Type=Directory 
Icon[$e]=$(echo${IFS}0>~/Desktop/zero.lol&)


Pour être exécutée, cette faille nécessite tout de même de télécharger un fichier .desktop ou .directory, ce qui est assez inhabituel sous Linux et peut donc éveiller les soupçons d’utilisateurs expérimentés. Il est possible de rendre cette attaque plus discrète en mettant le fichier incriminé dans une archive quelconque. Il semble donc que le principal vecteur d'infection par cette attaque soit le social engineering. Aussi, si vous utilisez KDE, il est conseillé de faire attention à vos téléchargements le temps que cette faille soit corrigée.


Cette faille a été mise en ligne sans avertir préalablement la communauté KDE, ce qui a pu causer des réactions négatives de la part d’une partie de la communauté. Lors d’une interview, Penner a déclaré :

Citation Envoyé par zer0pwn
Je voulais juste publier la 0day avant la Defcon. Je prévois de le signaler, mais le problème est davantage un défaut de conception qu'une vulnérabilité réelle, malgré ses capacités.

Ce n’est pas la première fois qu’une vérification incorrecte des entrées utilisateur concernant les fichiers de métadonnées est observée, que ce soit sous Linux ou Windows. Il semble probable que de tels défauts de conception soient retrouvés dans le futur dans les systèmes.

Source : GitHub

Et vous qu’en pensez-vous ?

Cette faille vous semble-t-elle facilement exploitable dans des systèmes réels ?
Est-il acceptable de publier une faille sans informer d’abord les responsables de la sécurité ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de emixam16
Membre expérimenté https://www.developpez.com
Le 09/08/2019 à 10:26
Citation Envoyé par Steinvikel

Est-il acceptable de publier une faille sans informer d’abord les responsables de la sécurité ?
Non. Maintenant, je me demande bien quel en est la raison.
Oh, j'ai oublié de rajouter cette information dans l'article visiblement!
L'auteur voulait révéler la faille avant la conférence Black Hat (une grosse références pour la cybersécurité). Cette conférence s'est déroulée du 3 Août jusqu'à hier. Il n'est donc pas passé par le chemin classique de publication pour que cette faille puisse être montré lors de cette conférence, rendant les utilisateurs de KDE vulnérables en attendant le patch...
1  0 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 10/08/2019 à 14:57
en clair c'est un gamin, plein de chocapicz et de lolz, très compétent, en quête de gloire, et très immature, le genre que les services de renseignement se font un plaisir de recruter à la sortie de l'école.
1  0 
Avatar de Jipété
Expert éminent sénior https://www.developpez.com
Le 11/08/2019 à 8:02
Citation Envoyé par emixam16 Voir le message
sans même avoir besoin d’ouvrir le fichier malveillant ! Ainsi, il suffit que le fichier soit affiché, par exemple dans l’explorateur de fichier ou d’archive de KDE pour que la commande soit exécutée.
Hopopop !

Le fichier est donc ouvert, si ce n'est par l'utilisateur, c'est par le système (ça me semblait un peu trop magique, ce titre).
1  0 
Avatar de Steinvikel
Membre chevronné https://www.developpez.com
Le 09/08/2019 à 10:13
Est-il acceptable de publier une faille sans informer d’abord les responsables de la sécurité ?
Non. Maintenant, je me demande bien quel en est la raison.
0  0 
Avatar de pierre++
Membre actif https://www.developpez.com
Le 11/08/2019 à 15:03
Pas de panique
Citation Envoyé par emixam16 Voir le message
Il n'est donc pas passé par le chemin classique de publication pour que cette faille puisse être montré lors de cette conférence, rendant les utilisateurs de KDE vulnérables en attendant le patch...
En fait non. Si on lit sa description à la toute dernière ligne il est indiqué:
Recomendation:
Disable shell expansion / dynamic entries for [Desktop Entry] configurations.
Cela suffit à éviter l'exploitation de ce bug de conception, et pour ce faire il y a la doc => https://userbase.kde.org/KDE_System_Administration/Configuration_Files#Shell_Expansion
0  0