Linux avec GNOME : cette faille permet une exécution de code avec un simple téléchargement de fichier !
-
L’environnement de bureau GNOME est affecté par une faille de sécurité importante présente dans une bibliothèque qu’il utilise. En exploitant cette vulnérabilité, un attaquant peut exécuter du code arbitraire sur la machine Linux. Faisons le point.
GNOME est un environnement de bureau populaire pour les distributions Linux, et c’est une alternative à XFCE, KDE, etc… Il est utilisé (ou proposé) au sein de distributions Linux populaires comme Ubuntu, Debian ou encore Red Hat Enterprise Linux.
La faille de sécurité qui impacte GNOME est présente dans la bibliothèque “libcue” intégrée à l’outil d’indexation de métadonnées de fichiers Tracker Miners. Ce dernier est intégré dans les dernières versions de GNOME. En fait, libcue sert à analyser les fichiers de type “cue sheets” qui contiennent les métadonnées d’un CD ou d’un DVD (nom de la piste, durée de la piste, artiste, etc.).
La faille de sécurité CVE-2023-43641 est de type “1-click RCE” c’est-à-dire qu’elle permet une exécution de code en un seul clic puisqu’il suffit que l’utilisateur clique sur un lien malveillant pour que du code soit exécuté sur la machine Linux.
Kevin Backhouse, qui a fait la découverte de cette vulnérabilité, a mis en ligne de nombreux détails techniques sur son GitHub.
Il précise : “Parfois, une vulnérabilité dans une bibliothèque apparemment inoffensive peut avoir un impact important.” - Dans une démonstration, on voit qu’il clique sur un lien Web correspondant à un fichier “.cue” et le code est exécuté dès la fin du téléchargement du fichier, car le fichier est immédiatement indexé par Tracker Miners. D’autres formats sont pris en charge par cet indexeur : HTML, JPEG, PDF, etc…
Il y a un réel risque vis-à-vis de cette vulnérabilité et Kevin Backhouse est clair : “Si vous utilisez GNOME, mettez à jour dès aujourd’hui !”. Actuellement son exploit PoC complet n’est pas accessible publiquement, mais il sera mis en ligne par la suite.
La semaine dernière, une autre vulnérabilité baptisée Looney Tunables a été découverte dans Linux. Elle permet de devenir “root” sur une machine locale.
– Source