Les distributions Linux Ubuntu et Fedora ont été confrontés à une vulnérabilité critique visant GStreamer. L’exploitation permettait à des attaquants de pirater le système et de s’allouer les droits root via un simple fichier MP3 ou FLAC. La faille a été corrigée.
Grâce à une faille propre à GStreamer, l’expert en sécurité Chris Evans a réussi à corrompre un Ubuntu et une Fedora via une vulnérabilité critique.
GStreamer se présente sous la forme d’une bibliothèque axée sur le son et l’image. Elle est distribuée sous licence libre et elle vient se positionner sur un segment identique à QuickTime et DirectShow. Chris Evans s’est rendu compte qu’il était possible de provoquer un heap overflow (un bug similaire à un dépassement de tampon, mais pour la mémoire allouée aux programmes) avec ces fichiers et donc d’exécuter du code avec les privilèges utilisateur. Il s’est basé sur des fichiers SPC, puis des MP3 et des FLAC. Le PoC montre l’exécution du programme calculette via une simple ouverture du fichier piégé.
Un patch a été déployé par les équipes d’Ubuntu et Fedora.
Mais cela n’est pas tout, puisqu’une autre vulnérabilité, cette fois localisée au sein d’Apport, un programme utilisé par la distribution Linux et ses dérivés afin de générer automatiquement des rapports après le dysfonctionnement d’un programme ou d’une fonctionnalité, a elle aussi été découverte, par le chercheur irlandais Donncha O’Cearbhaill, qui a publié les détails de l’attaque sur son blog. Cette vulnérabilité affecte l’ensemble des versions d’Ubuntu supérieures à la version 12.10 (CVE-2016-9949).
L’attaquant peut utiliser un fichier .crash spécifique contenant un code en Python, qui sera interprété si la cible clique sur “afficher les détails” dans la fonction de rapport d’erreur. Attention aux pièces jointes donc.
Des correctifs ont été publiés par Ubuntu afin de combler ces deux vulnérabilités : celle permettant l’exécution de code ainsi que celle destinée à l’élévation de privilèges.
Les commentaires sont fermés.