fbpx

Archive de l’étiquette Linux

Paradmin

Des chercheurs découvrent 26 bugs USB dans divers OS

Des chercheurs découvrent 26 bugs USB dans Linux, Windows, MacOS et FreeBSD

Des chercheurs découvrent 26 bugs USB dans Linux, Windows, MacOS et FreeBSD

Sécurité : 18 d’entre eux impactent Linux et 11 ont déjà été corrigés.

Des universitaires disent avoir découvert 26 nouvelles vulnérabilités dans la pile de clés USB utilisée par les systèmes d’exploitation tels que Linux, macOs, Windows et FreeBSD. L’équipe de recherche, composée de Hui Peng de l’Université de Purdue et de Mathias Payer de l’Ecole polytechnique fédérale de Lausanne, a déclaré que tous les bugs ont été découverts grâce à un nouvel outil qu’ils ont créé, appelé USBFuzz.

Cet outil est ce que les experts en sécurité appellent un fuzzer. Les fuzzers sont des applications qui permettent aux chercheurs en sécurité d’envoyer de grandes quantités de données non valides, inattendues ou aléatoires comme entrées dans d’autres programmes. Les chercheurs en sécurité analysent ensuite le comportement des logiciels testés pour découvrir de nouvelles vulnérabilités, dont certaines peuvent être exploitées de manière malveillante.

Pour tester les clés USB, Hui Peng et Mathias Payer ont développé USBFuzz, un nouveau fuzzer spécialement conçu pour tester la pile de clés USB des systèmes d’exploitation modernes. « En son cœur, USBFuzz utilise un dispositif USB émulé par logiciel pour fournir des données aléatoires aux pilotes (lorsqu’ils effectuent des opérations d’entrée/sortie) », ont déclaré les chercheurs. « Comme le dispositif USB émulé fonctionne au niveau du dispositif, le portage sur d’autres plateformes est simple ».

 publicité 

Tests sur différents systèmes d’exploitation

Cela a permis à l’équipe de recherche de tester USBFuzz non seulement sur Linux, où la plupart des programmes de fuzzer fonctionnent, mais aussi sur d’autres systèmes d’exploitation. Les chercheurs ont déclaré avoir testé USBFuzz sur :

  • 9 versions récentes du noyau Linux : v4.14.81, v4.15,v4.16, v4.17, v4.18.19, v4.19, v4.19.1, v4.19.2, et v4.20-rc2 (la dernière version au moment de l’évaluation) ;
  • FreeBSD 12 (la dernière version) ;
  • MacOS 10.15 Catalina (dernière version) ;
  • Windows (versions 8 et 10, avec les dernières mises à jour de sécurité installées).

A la suite de leurs tests, l’équipe de recherche a déclaré qu’avec l’aide d’USBFuzz, ils ont découvert un total de 26 nouveaux bugs. Les chercheurs ont trouvé une faille dans FreeBSD, trois dans MacOS (deux entraînant un redémarrage imprévu et un gel du système), et quatre dans Windows 8 et Windows 10 (entraînant un écran bleu fatal).

Cependant, la grande majorité des bugs, et les plus graves, ont été trouvés dans Linux : 18 au total. 16 étaient des vulnérabilités de mémoire ayant un impact de haute sécurité dans divers sous-systèmes Linux (noyau USB, son USB et réseau), un autre résidait dans le pilote du contrôleur hôte USB de Linux, et le dernier dans un pilote de caméra USB.

Les chercheurs ont déclaré avoir signalé ces failles à l’équipe du noyau Linux, et proposé des correctifs pour réduire « la charge des développeurs du noyau lors de la correction des vulnérabilités signalées ». Sur les 18 failles de sécurité de Linux, l’équipe de recherche a déclaré que 11 d’entre eux avaient reçu un correctif depuis leurs premiers rapports l’année dernière. 10 de ces 11 vulnérabilités ont également reçu un CVE, un code unique attribué aux principales failles de sécurité.

D’autres correctifs sont également attendus dans un avenir proche pour les 7 failles restantes.

USBFuzz sera disponible en libre accès

Mathias Payer a publié hier une ébauche du livre blanc de l’équipe de recherche décrivant leur travail sur USBFuzz. Les chercheurs prévoient de présenter leurs recherches lors de la conférence sur la sécurité virtuelle Usenix Security Symposium, prévue pour août 2020.

Des travaux similaires ont été réalisés dans le passé. En novembre 2017, un ingénieur en sécurité de Google a utilisé un fuzzer fabriqué par Google, nommé syzkaller, pour découvrir 79 bugs affectant les pilotes USB du noyau Linux.

Hui Peng et Mathias Payer ont déclaré que USBFuzz est supérieur aux outils précédents comme vUSBf, syzkaller et usb-fuzzer parce que leur outil permet aux testeurs de mieux contrôler les données de test et qu’il est également portable d’un système d’exploitation à l’autre, contrairement à tous les outils ci-dessus, qui ne fonctionnent généralement que sur les systèmes *NIX.

USBFuzz est prévu pour être diffusé sur GitHub en tant que projet open source après l’entretien de Hui Peng et Mathias Payer sur Usenix.

Source : ZDNet.com

Paradmin

Les eurodéputés votent un amendement en faveur du logiciel libre

Open Source : Le Parlement européen recommande que tout logiciel développé pour lui soit mis sous licence libre.

Siège du Parlement européen à Bruxelles, espace Léopold. Photo Alina Zienowicz / Wikimedia Commons / CC by-sa 

Parmi les motifs du déménagement de la fondation Eclipse, qui quitte les Etats-Unis pour s’installer à Bruxelles, il y a le sentiment que «l’Europe aime beaucoup, et de plus en plus, l’open source», nous expliquait récemment Gaël Blondelle, qui dirige l’équipe européenne de la fondation. Et cela tant côté entreprises qu’institutions, d’où le choix de la capitale de l’Union.

 publicité 

«Valeur ajoutée des logiciels libres et ouverts»

Ce soutien au Libre se vérifie, dans le secteur public, par la résolution qu’a votée le 15 mai le Parlement européen, dans un rapport de décharge budgétaire, vote rapporté sur Linuxfr par Stéfane Fermigier (coprésident du CNLL, Union des Entreprises du Logiciel Libre et du Numérique Ouvert).

Le texte adopté par les eurodéputés recommande «vivement» de libérer tout logiciel développé pour le Parlement. Il est indiqué (point 49 de la résolution):

[Le Parlement] «reconnaît la valeur ajoutée que les logiciels libres et ouverts peuvent apporter au Parlement; souligne en particulier leur rôle dans l’amélioration de la transparence et dans la prévention des effets de blocage des fournisseurs; reconnaît également leur potentiel en matière d’amélioration de la sécurité étant donné qu’ils permettent de relever et de corriger les faiblesses; recommande vivement que tout logiciel développé pour l’institution soit rendu public sous licence de logiciel libre et ouvert.»

Open data et réseaux sociaux open source

Juste avant, le même texte (point 48) prône l’open data avec des formats ouverts:

[Le parlement] «reconnaît que la production de données publiques sous un format ouvert, lisible par machine, facilement accessible et réutilisable offre de grandes possibilités tant pour la transparence envers le public que pour l’innovation ; salue les initiatives en cours visant à créer et à convertir une partie de ses données qui revêtent un intérêt pour le public sous ce format ; souligne la nécessité d’adopter une approche plus conviviale, systématique et coordonnée pour de telles initiatives, dans le cadre d’une politique bien définie des données ouvertes du Parlement.»

Le point 79 de la résolution prône quant à lui l’usage de réseaux sociaux open source et auto-hébergés:

Le Parlement «prend acte en outre de l’amélioration substantielle de l’utilisation des réseaux sociaux par le Parlement et encourage en outre l’utilisation de plateformes de réseaux sociaux open source gratuites et auto-hébergées, qui accordent une attention particulière à la protection des données des utilisateurs; prend acte par ailleurs des actions destinées à informer des activités de l’Union et prie instamment le Parlement d’intensifier ses activités sur les réseaux sociaux afin de diffuser les résultats de ses travaux auprès des citoyens de l’Union.»

Stéfane Fermigier précise que c’est l’eurodéputé tchèque et vice-président du Parlement européen Marcel Kolaja, du Parti pirate européen, qui est à l’origine de ces amendements.

Sources

ParDamien

Linux Mint se dote d’un nouveau support à long terme

Technologie : Le système d’exploitation Linux Mint s’offre un nouveau support jusqu’en 2023. Une excellente nouvelle pour les aficionados de l’un des meilleurs OS basé sur Ubuntu.