Une nouvelle vulnérabilité zero-day a été découverte permettant à des applications Android ou Linux d’escalader des privilèges et d’avoir un accès root, d’après un rapport publié ce matin par le fournisseur de solutions de sécurité Perception Point. « Elle affecte tous les téléphones Android sous KitKat (4.4) ou supérieurs », a fait savoir Yevgeny Pats, co-fondateur et CEO de Perception Point.
Toutes les machines dotées d’un noyau Linux 3.8 (ou supérieur) sont vulnérables, incluant des dizaines de millions de PC et serveurs Linux, aussi bien 32 que 64 bits. En tirant parti de cette vulnérabilité, des attaquants sont en mesure de supprimer des fichiers, accéder à des informations personnelles, et installer divers programmes.
Des correctifs disponibles via des mises à jour automatiques
Cette vulnérabilité, présente dans le code source de Linux depuis 2012 mais découverte seulement maintenant par Perception Point, n’a pour l’heure pas été exploitée. L’équipe Linux a été prévenue et des correctifs devraient être disponibles sous peu et seront installés via des mises à jour automatiques. Selon Yevgeny Pats, cette vulnérabilité zero-day (CVE-2016-0728) concerne le service keyrings facility permettant aux drivers de sauvegarder dans le noyau de l’OS des données de sécurité ainsi que des clés d’authentification et de chiffrement.
Ah quand j'ai lu "des serveurs sous clé" j'ai compris clé SSH mais non vraiment "sous clé"... Genre avec une serrure toussa... No comment...
Signaler un abusQui parle d'un accès physique ? Si on couple cela avec un exploit dans openssh cela peut être amusant.
Signaler un abusCette faille montre également l'incroyable auto-satisfaction d'une partie de la communauté Linux.
Si cette faille a pu être été exploitée depuis 2012, est-ce qu'appliquer un correctif aujourd'hui a un effet rétro-actif ? ;)
Le mantra selon lequel GNU/Linux est mieux car les patches sont appliqués *dès que la faille est connue* est sympa mais pas suffisant.
J'imagine que l'absence de liability vis-à-vis du kernel est du pain béni pour les départements juridiques de grandes compagnies américaines, sur la période où l'exploit n'est pas connu.
Conversely cela explique également pourquoi "GNU/Linux" est réactif: IBM, Google, Oracle, Red Hat, Canonical etc... ont-ils intêret à laisser la faille non-corrigée ?
Reality check: GNU/Linux est un produit avec un business model où les ressources sont partagées entre les acteurs principaux du marché, ce n'est pas Marcel dans son garage qui patche le kernel.
Ce type de faille arrive, pas de quoi en faire un fromage, pas non plus la peine de se gausser ni de verser dans le déni.
Merci de ces précisions @7796. Effectivement l'article crie au loup trop vite, sans avoir demandé à voir les dents, la queue ou reniflé l'odeur de la bête. ANDROID ??? Please...
Signaler un abusVous oubliez de préciser le plus important : la faille demande un accès physique au poste, ce qui rend les choses tout de suite plus compliquées pour un pirate face à des serveurs sous clé.
Signaler un abusEt pour votre info, la faille est déjà patché sous Ubuntu ce 19/1 au soir. L'insolente réactivité de GNU/Linux démontre une fois encore son efficacité écrasante en terme de sécurité.
Finalement, il n'y a qu'android qui soit réellement affecté, et là j'attendrai plus d'infos avant de crier au loup...