Vigil@nce : Solaris, verrouillage incomplet de XScreenSaver
octobre 2009 par Vigil@nce
Lorsque les fonctionnalités d’accessibilité sont activées, les
fenêtres de type popup s’affichent à travers XScreenSaver.
Gravité : 1/4
Conséquences : lecture de données
Provenance : console utilisateur
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 26/10/2009
PRODUITS CONCERNÉS
– Sun Solaris
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme XScreenSaver permet de verrouiller l’écran, et masque
le contenu de la session de l’utilisateur.
Les fonctionnalités d’accessibilité (gnome-accessibility-keyboard-properties)
facilitent l’accès aux utilisateurs ayant des déficiences.
Lorsque les fonctionnalités d’accessibilité sont activées, les
fenêtres de type popup s’affichent à travers XScreenSaver.
Un attaquant local peut ainsi obtenir des informations
potentiellement sensibles.
Cette vulnérabilité est différente de VIGILANCE-VUL-8920
(https://vigilance.fr/arbre/1/8920). Elle est uniquement présente
avec les patches 120094-27 et 28.
CARACTÉRISTIQUES
Références : 268288, 6875930, CVE-2009-3746, VIGILANCE-VUL-9123
http://vigilance.fr/vulnerabilite/Solaris-verrouillage-incomplet-de-XScreenSaver-9123