Attention aux liens piégés dans VLC, Telegram et LibreOffice
La gestion des liens et des chemins d’accès n’est pas toujours bien gérée et peut offrir un point d’entrée à des pirates.
Ouvrir un lien ou un chemin d’accès n’est jamais sans risque, y compris dans des applications desktop classiques. Des chercheurs en sécurité de Positive Security ont détecté des failles dans une petite dizaine d’applications qui permettaient d’exécuter du code malveillant par l’intermédiaire d’un lien piégé. Ces applications sont : VLC, Telegram, LibreOffice, OpenOffice, Bitcoin Desktop Client, Nextcloud, Wireshark et Mumble.
Ces vulnérabilités existaient car ces applications n’utilisaient pas les précautions suffisantes quand elles étaient confrontées à des gestionnaires d’identifiants de ressources (Uniform Resource Identifier, URI) tels que ftp, sftp, file, mailto, nfs, etc. Dans les navigateurs, ce genre de liens provoquent systématiquement des alertes, mais les autres applications n’ont pas forcément le même niveau de protection.
Les chercheurs ont démontré ces failles par une série de vidéos. Celle sur VLC est particulièrement intéressante, car elle exploite l’option contextuelle « Show containing folder… » d’une liste d’écoute. L’utilisateur ne se rend même pas compte que son action provoque l’ouverture d’un lien piégé.
Certains logiciels ont d’ores et déjà été patchés. Pour d’autres, c’est en cours. En attendant, il faut rester vigilant si vous utilisez l’un de ces logiciels.
Pour plus d’information : https://www.01net.com/actualites/attention-aux-liens-pieges-dans-vlc-telegram-et-libreoffice-2041426.html
Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram