mer. Oct 5th, 2022

Une vulnérabilité dans ChromeOS de Google a permis l’exécution à distance de code malveillant arbitraire sur les Chromebooks.

En avril, les chercheurs en sécurité de Microsoft ont découvert une vulnérabilité dans ChromeOS de Google, le système d’exploitation du Chromebook. Mais Google a réagi rapidement et a fermé la faille qui permettait d’exécuter du code arbitraire à distance en quelques jours seulement.

Les métadonnées d’un fichier audio mettent ChromeOS à genoux

Jusqu’à présent, les Chromebooks ont été considérés comme relativement sûrs. Cependant, à mesure que les systèmes basés sur ChromeOS se répandent, ils deviennent également de plus en plus intéressants pour les attaquants. Ironiquement, c’est l’équipe de recherche Microsoft 365 Defender qui a découvert une vulnérabilité système qui pourrait permettre à un attaquant potentiel d’exécuter à distance du code arbitraire sur un Chromebook.

Selon un nouveau billet de blog de l’ingénieuse équipe Microsoft, la vulnérabilité de corruption de mémoire trouvée peut parfois être déclenchée par des métadonnées manipulées d’un fichier audio dans le navigateur. Dès avril, l’un des découvreurs a signalé la vulnérabilité trouvée (CVE-2022-2587) à Google. Selon le Common Vulnerability Scoring System (CVSS), la vulnérabilité est classée comme critique avec un score de 9,8.

Google a réagi rapidement

Google a déjà fermé la vulnérabilité dans ChromeOS, elle ne devrait donc plus être exploitable dans les systèmes actuels. De plus, selon les chercheurs de Microsoft, il n’y a toujours aucune preuve que les attaquants aient réellement abusé de la vulnérabilité à leurs propres fins. Google a reçu les éloges de ses collègues de Microsoft pour avoir rapidement éliminé le problème en une semaine. Cependant, il y a encore de la place pour un avertissement :

« Parce que même les systèmes d’exploitation les plus sécurisés peuvent contenir des failles de sécurité, nous insistons sur la nécessité d’une surveillance stricte de tous les appareils et systèmes d’exploitation multiplateformes. »

Chercheurs en sécurité Microsoft

L’utilisation de la fonction strcpy incite les chercheurs en sécurité à s’asseoir et à prendre note

Le composant système ChromeOS responsable du traitement audio utilise la fonction strcpy. Cette fonctionnalité est connue pour provoquer souvent des vulnérabilités de corruption de mémoire. En raison du manque de contrôles aux frontières, les experts en sécurité le classent comme dangereux.

Voir aussi  Quad9 : l'affaire d'interdiction de CannaPower atteint son paroxysme

La vulnérabilité peut être exploitée en modifiant la chanson en cours de lecture, soit dans un navigateur, soit localement lors de la lecture via un périphérique audio Bluetooth. Dans les deux cas, le système appelle la fonction système sujette aux erreurs « MediaSessionMetadataChangedMediaSessionMetadataChangedMediaSessionMetadataChangedMediaSessionMetadataChanged » sur.

Par exemple, un dépassement de mémoire tampon basé sur le tas pourrait permettre à un attaquant de remplacer un rappel de fonction, provoquant un comportement inattendu. Dans ce cas, la fonction strcpy est utilisée à mauvais escient pour écrire des zones mémoire qui ne sont pas réellement destinées à cette fonction. De cette manière, le code malveillant peut y être stocké de manière ciblée, qui à son tour est ensuite exécuté par d’autres appels de fonction.

Aucun système n’est sécurisé, y compris ChromeOS

La règle générale est la suivante : plus un système est répandu, plus il est probable que des vulnérabilités potentielles seront découvertes. Non pas parce que les systèmes sont automatiquement moins sécurisés, mais simplement parce que les pirates et les chercheurs en sécurité sont d’autant plus intéressés à trouver les failles correspondantes. Il est donc tout à fait concevable que ChromeOS devienne encore plus visible en raison de vulnérabilités à mesure qu’il se généralise.

Parce que les dommages potentiels qui peuvent résulter de l’exploitation d’une faille de sécurité augmentent à mesure qu’elle se propage. C’est pourquoi Windows et Android en particulier, ainsi que les navigateurs Web fréquemment utilisés, sont toujours au centre de l’attention du public en matière de vulnérabilités.