X

KDE Linux, possibilité de piratage sans ouvrir de fichier malveillant

Si vous utilisez le système d’exploitation Linux avec l’environnement KDE, vous devez faire preuve de prudence et évitez de télécharger des fichiers “.desktop” ou “.directory” pendant un moment.

Un chercheur en cybersécurité a divulgué une vulnérabilité zero-day non patchée dans le framework logiciel de KDE qui permet à des fichiers malveillants .desktop et .directory d’exécuter du code arbitraire sur l’ordinateur de l’utilisateur sans ouvrir le fichier.

KDE Plasma est l’un des environnements Linux les plus populaires et l’environnement par défaut sur plusieurs distributions Linux, tel que Manjaro, openSUSE, Kubuntu et PCLinuxOS.

Le chercheur en sécurité, Dominik Penner, qui a découvert la vulnérabilité, a ajouté qu’il y’a une vulnérabilité d’injection de commande dans KDE 4/5 Plasma à cause de la méthode utilisée pour manipuler les fichiers .desktop et .directory.

“Quand un fichier .desktop ou .directory est instancié, il évalue les variables d’environnement et les expansions shell en utilisant KConfigPrivate::expandString() via la fonction KConfigGroup::readEntry(),” a déclaré Penner.

Exploiter cette faille, qui affecte Frameworks package 5.60.0 et les versions antérieures, est simple et nécessite un peu d’ingénierie sociale pour pousser un utilisateur à télécharger une archive contenant un fichier malveillant .desktop ou .directory.

Penner a aussi publié le code de l’exploit de la vulnérabilité avec deux vidéos qui démontrent les scénarios d’attaque exploitant la vulnérabilité d’injection de commande du KDesktopFile.

Apparemment, le chercheur n’a pas signalé la vulnérabilité aux développeurs avant de publier les détails et les exploits Proof-of-Concept. La communauté KDE a pris connaissance de la vulnérabilité et à assurer à ses utilisateurs qu’un patch sera bientôt disponible.

“Aussi, si vous découvrez une vulnérabilité similaire, il serait mieux de nous envoyer un email à security@kde.org avant de la divulguer. Cela nous donnera le temps de la patcher et de garantir la sécurité de nos utilisateurs avant que les pirates n’essayent de l’exploiter,” a déclaré la communauté.

Pendant ce temps-là, les développeurs ont recommandé aux utilisateurs d’éviter de télécharger des fichiers .desktop ou .directory et d’extraire des archives venant de sources inconnues jusqu’à ce que la vulnérabilité soit patchée.

Mis à jour — KDE v5.61.0

Les développeurs ont patché cette vulnérabilité en supprimant la fonctionnalité qui supportait les commandes de shell dans les fichiers KConfig.

Selon les développeurs, KConfig pourrait être abusé par des individus mal intentionnés pour pousser les utilisateurs à installer des fichiers et exécuter du code à leur insu.

“Un gestionnaire de fichier essayant de découvrir l’icone d’un fichier ou d’un dossier pourrait exécuter du code, ou n’importe quelle application qui utilise KConfig pourrait exécuter du code malveillant durant la phase de démarrage par exemple,” a révélé KDE dans un rapport de sécurité.

“Après considération, la fonctionnalité de support de commandes shell dans les entrées KConfig a été supprimé, parce que nous n’en avons pas trouvé l’utilité.”

Il est recommandé aux utilisateurs de mettre à jour vers la version 5.61.0 de Frameworks 5, alors que les utilisateurs de kdelibs doivent appliqué le patch pour kdelibs 4.14 fournit dans le rapport de KDE Project.

Si cet article vous a plu, jetez un œil à notre précédent article concernant Linux.

Catégories: Vulnérabilités

Voir Commentaires (0)

Ce site utilise des cookies pour améliorer votre expérience.

En Savoir Plus