Vigil@nce : GNOME, arrêt de gnome-screensaver
février 2010 par Vigil@nce
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut déconnecter un écran, pour stopper
gnome-screensaver.
Gravité : 1/4
Conséquences : accès/droits utilisateur
Provenance : console utilisateur
Moyen d’attaque : 1 attaque
Compétence de l’attaquant : technicien (2/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 08/02/2010
PRODUITS CONCERNÉS
– Fedora
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme gnome-screensaver verrouille l’écran, et affiche une
animation d’attente.
Lorsqu’un système possédant deux écrans est verrouillé, un
attaquant peut :
– placer la souris sur l’écran secondaire (la zone de saisie du
mot de passe est affichée sur cet écran)
– débrancher l’écran secondaire
– presser quelques touches sur le clavier
Cette succession d’opérations force gnome-screensaver à gérer des
touches associées à un écran qui n’existe plus, ce qui provoque
son arrêt.
Un attaquant local peut donc déconnecter un écran, pour stopper
gnome-screensaver, afin d’accéder à la session d’un utilisateur.
CARACTÉRISTIQUES
Références : 609337, BID-38149, CVE-2010-0414, FEDORA-2010-1556,
VIGILANCE-VUL-9418
http://vigilance.fr/vulnerabilite/GNOME-arret-de-gnome-screensaver-9418