Menu Parlons Techs

Apprends Moi + -Des Formations en Ligne 100% à Votre Rythme, Montez en Compétence dès Aujourd'hui...



Publié Le 21 avril, 2021 9:35 pm
Attention aux liens piégés dans VLC, Telegram et LibreOffice

Ouvrir un lien ou un chemin d’accès n’est jamais sans risque, y compris dans des applications desktop classiques. Des chercheurs en sécurité de Positive Security ont détecté des failles dans une petite dizaine d’applications qui permettaient d’exécuter du code malveillant par l’intermédiaire d’un lien piégé. Ces applications sont : VLC, Telegram, LibreOffice, OpenOffice, Bitcoin Desktop Client, Nextcloud, Wireshark et Mumble.

Ces vulnérabilités existaient car ces applications n’utilisaient pas les précautions suffisantes quand elles étaient confrontées à des gestionnaires d’identifiants de ressources (Uniform Resource Identifier, URI) tels que ftp, sftp, file, mailto, nfs, etc. Dans les navigateurs, ce genre de liens provoquent systématiquement des alertes, mais les autres applications n’ont pas forcément le même niveau de protection.

Les chercheurs ont démontré ces failles par une série de vidéos. Celle sur VLC est particulièrement intéressante, car elle exploite l’option contextuelle « Show containing folder… » d’une liste d’écoute. L’utilisateur ne se rend même pas compte que son action provoque l’ouverture d’un lien piégé.

Certains logiciels ont d’ores et déjà été patchés. Pour d’autres, c’est en cours. En attendant, il faut rester vigilant si vous utilisez l’un de ces logiciels.

SourcePositive Security




Apprends Moi + -Des Formations en Ligne 100% à Votre Rythme, Montez en Compétence dès Aujourd'hui...