Vigil@nce - GNOME Display Manager : exécution de navigateur web
juin 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant non authentifié peut démarrer un navigateur web avec
les privilèges de l’utilisateur "gdm".
Gravité : 2/4
Date création : 06/06/2011
PRODUITS CONCERNÉS
– Fedora
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Le GNOME Display Manager propose une fenêtre d’authentification
(login).
Lorsque l’utilisateur saisit un uri (http, file, ftp, etc.) dans
un champ GNOME, un gestionnaire (programme externe) associé au
type MIME de l’uri est appelé. Cependant, depuis glib version
2.28, cette fonctionnalité est aussi activée dans la fenêtre de
login.
Un attaquant non authentifié peut donc démarrer un navigateur web
avec les privilèges de l’utilisateur "gdm".
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/GNOME-Display-Manager-execution-de-navigateur-web-10703