Vigil@nce : Solaris, verrouillage incomplet de XScreenSaver/Xorg
août 2009 par Vigil@nce
Les fenêtres de type popup s’affichent lorsque XScreenSaver est
actif, sur un serveur Xorg.
Gravité : 1/4
Conséquences : lecture de données
Provenance : console utilisateur
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 06/08/2009
PRODUITS CONCERNÉS
– OpenSolaris
– Sun Solaris
– Sun Trusted Solaris
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme XScreenSaver permet de verrouiller l’écran, et masque
le contenu de la session de l’utilisateur.
Cependant, sur un serveur Xorg(Xnewt), les nouvelles fenêtres
popup apparaissent sur l’économiseur d’écran. Un attaquant peut
donc lire leur contenu.
Un attaquant local peut ainsi obtenir des informations
potentiellement sensibles.
Cette vulnérabilité est différente de VIGILANCE-VUL-8611
(https://vigilance.fr/arbre/1/8611).
CARACTÉRISTIQUES
Références : 258928, 6825374, BID-35964, VIGILANCE-VUL-8920
http://vigilance.fr/vulnerabilite/Solaris-verrouillage-incomplet-de-XScreenSaver-Xorg-8920