Linux Mint: une faille de sécurité découverte par deux enfants

Spread the love
Linux Mint: une faille de sécurité découverte par deux enfants

Le projet Linux Mint a corrigé cette semaine une faille de sécurité qui aurait pu permettre à un acteur malveillant de contourner l’écran d’accueil du système d’exploitation et son mot de passe afin d’accéder à des bureaux verrouillés.

Cette faille de sécurité particulièrement grave a été découverte par deux enfants jouant sur l’ordinateur de leur père, selon un rapport de bug sur GitHub.

publicité

“Il y a quelques semaines, mes enfants ont voulu pirater mon bureau Linux, alors ils ont tapé et cliqué partout pendant que je me tenais derrière eux en les regardant jouer”, a écrit un utilisateur s’identifiant comme robo2bobo.

Selon le rapport, les deux enfants ont appuyé sur des touches aléatoires sur le clavier physique et sur le clavier à l’écran, ce qui a finalement entraîné un plantage de l’écran d’accueil Linux Mint, leur permettant aux d’accéder au bureau.

“Je pensais que c’était un incident isolé, mais ils ont réussi à le faire une deuxième fois”, a ajouté l’utilisateur.

Source du bug : la touche ē

Selon le développeur principal de Linux Mint, Clement Lefebvre, l’origine du problème a finalement été retracée jusqu’à libcaribou, le composant de clavier virtuel livré avec Cinnamon, l’interface de bureau utilisée par Linux Mint.

Plus précisément, le bug se produit lorsque les utilisateurs appuient sur la touche “ē” du clavier virtuel.

Si dans la plupart des cas, le bug fait simplement planter le processus du bureau Cinnamon, si le clavier virtuel est ouvert depuis l’écran d’accueil, le bug fait planter l’écran d’accueil à la place et permet aux utilisateurs d’accéder au bureau sous-jacent.

M. Lefebvre a déclaré que le bug avait été introduit dans le système d’exploitation Linux Mint lorsque le projet a corrigé une autre vulnérabilité en octobre dernier, sous le nom de CVE-2020-25712.

Depuis lors, toutes les distributions de Linux Mint utilisant une version de Cinnamon 4.2 et ultérieure sont vulnérables à ce contournement. Cinnamon 4.2 est la version dans laquelle le clavier à l’écran a été ajouté à la page de l’économiseur d’écran.

Un patch a été publié cette semaine, mercredi, qui corrige le bug et empêche les futurs plantages.

M. Lefebvre a déclaré que le projet Linux Mint travaille actuellement à l’ajout d’un paramètre qui permettra aux utilisateurs de désactiver le clavier à l’écran, ce qui faciliterait l’atténuation des futurs bugs de ce composant jusqu’à ce que les correctifs soient généralement disponibles.

Source : “ZDNet.com”

Leave a Reply