Vigil@nce : GNOME, arrêt de gnome-screensaver
février 2010 par Vigil@nce
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut stopper gnome-screensaver lorsque la
fenêtre d’authentification vibre, afin d’accéder à la session de
l’utilisateur.
Gravité : 2/4
Conséquences : accès/droits utilisateur
Provenance : console utilisateur
Moyen d’attaque : 1 attaque
Compétence de l’attaquant : technicien (2/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 12/02/2010
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme gnome-screensaver verrouille l’écran, et affiche une
animation d’attente.
Lorsque l’utilisateur s’est trompé 5 fois de mot de passe, la
fenêtre d’authentification vibre. Cependant, durant cet effet
visuel, un attaquant peut simplement garder la touche Entrée
pressée, pour stopper gnome-screensaver.
Un attaquant local peut donc stopper gnome-screensaver lorsque la
fenêtre d’authentification vibre, afin d’accéder à la session de
l’utilisateur.
CARACTÉRISTIQUES
Références : 598476, BID-38211, VIGILANCE-VUL-9446
http://vigilance.fr/vulnerabilite/GNOME-arret-de-gnome-screensaver-9446