– Gravité : 1/4
– Conséquences : accès/droits utilisateur
– Provenance : console utilisateur
– Moyen d’attaque : 1 attaque
– Compétence de l’attaquant : technicien (2/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 15/02/2010

PRODUITS CONCERNÉS

– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Le programme gnome-screensaver verrouille l’écran, et affiche une
animation d’attente.

Lorsqu’un système est verrouillé, un attaquant peut :
– connecter un deuxième écran
– attendre qu’il soit reconnu, et que la zone de saisie du mot de
passe s’affiche sur cet écran
– débrancher l’écran secondaire
– presser quelques touches sur le clavier
Cette succession d’opérations force gnome-screensaver à gérer des
touches associées à un écran qui n’existe plus, ce qui provoque
son arrêt.

Un attaquant local peut donc connecter un deuxième écran, pour
stopper gnome-screensaver, afin d’accéder à la session d’un
utilisateur.

CARACTÉRISTIQUES

– Références : 564464, 609789, CVE-2010-0422, VIGILANCE-VUL-9452
– Url : http://vigilance.fr/vulnerabilite/GNOME-arret-de-gnome-screensaver-9452