Une faille 0day de KDE diffusée sur Twitter

Une faille 0day de KDE diffusée sur Twitter

Une vulnérabilité au sein de la bibliothèque de logiciels KDE Frameworks a été découverte par le chercheur Dominik Penner. Cette bibliothèque se trouve à la base des environnements de bureau KDE v4 et v5 (Plasma), actuellement fournis avec plusieurs distributions Linux telles que Kubuntu, openSUSE, OpenMandriva, Chakra, KaOS.

Le chercheur a découvert qu’il pouvait créer des fichiers .desktop et .directory malveillants pouvant être utilisés pour exécuter du code sur l’ordinateur d’un utilisateur.

La faille a été confirmée hier par le responsable technique de l’équipe de sécurité Ubuntu : « Naviguer dans un dossier via Dolphin (le gestionnaire graphique de fichiers de KDE) contenant un fichier .desktop malveillant suffit pour obtenir l’exécution du code ».

Le scénario d’exploitation implique qu’un utilisateur télécharge ces fichiers malveillants d’extensions douteuses : .desktop ou .directory. Cependant, ces fichiers peuvent être cachés dans des archives ZIP ou TAR. Une fois que l’utilisateur décompresse l’archive et visualise son contenu, le code malveillant s’exécute à l’insu de la cible ou sans que celle-ci ait à effectuer d’autres actions.

Des failles similaires ont déjà été rapportées concernant les bibliothèques gérant les opérations d’affichage de fichiers sous Linux. Cette vulnérabilité concernant les problèmes de désinfection du contenu et des métadonnées des fichiers n’est pas propre aux systèmes Linux car Windows est également affecté.


Références

https://www.zdnet.fr/actualites/une-faille-0day-de-kde-diffusee-sur-twitter-39888843.htm


Jean-Christophe Pellat

Cert-XMCO