Vigil@nce : GNOME, non verrouillage du deuxième écran
janvier 2010 par Vigil@nce
Après avoir déconnecté puis reconnecté un deuxième écran, il n’est
plus verrouillé par GNOME ScreenSaver.
– Gravité : 1/4
– Conséquences : accès/droits utilisateur
– Provenance : console utilisateur
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 15/01/2010
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Le système peut être équipé de deux (ou plus) écrans, qui sont
verrouillés par GNOME ScreenSaver.
Cependant, si la victime :
– déconnecte le deuxième écran
– déverrouille le ScreenSaver pour accéder à sa session (GNOME
mémorise alors qu’il n’y a plus qu’un écran)
– verrouille le ScreenSaver (ScreenSaver mémorise alors qu’il y a
un écran)
– reconnecte le deuxième écran
alors, GNOME active le deuxième écran, mais le ScreenSaver ne
verrouille que le premier.
Un attaquant, ayant un accès physique à la machine, peut ainsi
accéder aux applications situées sur le deuxième écran de la
victime.
CARACTÉRISTIQUES
– Références : 593616, VIGILANCE-VUL-9354
– Url : http://vigilance.fr/vulnerabilite/GNOME-non-verrouillage-du-deuxieme-ecran-9354