Vigil@nce : Solaris Trusted Extensions, non verrouillage de XScreenSaver
novembre 2009 par Vigil@nce
Lorsque les Solaris Trusted Extensions sont activées, le verrou
d’écran XScreenSaver peut ne pas démarrer.
Gravité : 1/4
Conséquences : accès/droits utilisateur, lecture de données,
création/modification de données
Provenance : console utilisateur
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 02/11/2009
PRODUITS CONCERNÉS
– Sun Solaris
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme XScreenSaver verrouille automatiquement l’écran après
une période d’inactivité.
Cependant, lorsque les Solaris Trusted Extensions sont activées,
et que xscreensaver-demo est utilisé, l’écran n’est pas verrouillé
(ni manuellement, ni automatiquement).
Un attaquant local peut ainsi obtenir des informations
potentiellement sensibles, car l’utilisateur ne peut pas
verrouiller son écran.
CARACTÉRISTIQUES
Références : 270809, 6865652, BID-36891, VIGILANCE-VUL-9145
http://vigilance.fr/vulnerabilite/Solaris-Trusted-Extensions-non-verrouillage-de-XScreenSaver-9145