Ouvrir un lien ou un chemin d’accès n’est jamais sans risque, y compris dans des applications desktop classiques. Des chercheurs en sécurité de Positive Security ont détecté des failles dans une petite dizaine d’applications qui permettaient d’exécuter du code malveillant par l’intermédiaire d’un lien piégé. Ces applications sont : VLC, Telegram, LibreOffice, OpenOffice, Bitcoin Desktop Client, Nextcloud, Wireshark et Mumble.
Ces vulnérabilités existaient car ces applications n’utilisaient pas les précautions suffisantes quand elles étaient confrontées à des gestionnaires d’identifiants de ressources (Uniform Resource Identifier, URI) tels que ftp, sftp, file, mailto, nfs, etc. Dans les navigateurs, ce genre de liens provoquent systématiquement des alertes, mais les autres applications n’ont pas forcément le même niveau de protection.
A découvrir aussi en vidéo :
Les chercheurs ont démontré ces failles par une série de vidéos. Celle sur VLC est particulièrement intéressante, car elle exploite l’option contextuelle « Show containing folder… » d’une liste d’écoute. L’utilisateur ne se rend même pas compte que son action provoque l’ouverture d’un lien piégé.
Certains logiciels ont d’ores et déjà été patchés. Pour d’autres, c’est en cours. En attendant, il faut rester vigilant si vous utilisez l’un de ces logiciels.
Source: Positive Security
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.