Et Ubuntu ou Fedora Lunux sont piratables

Une mauvaise gestion des fichiers audio Super Nintendo (oui, oui) permet à un pirate d'exécuter du code arbitraire sur un poste de travail Linux. Heureusement, un patch est disponible.

Généralement, les utilisateurs de postes de travail sous Linux se sentent plus à l'abri que leurs homologues sous Windows. Pourtant, le système d'exploitation libre n'est pas toujours moins vulnérable que les autres, comme vient de le prouver Chris Evans, un chercheur en sécurité, dans une note de blog. Il vient de créer un exploit qui permet d'exécuter du code arbitraire sur Ubuntu ou Fedora Linux, simplement grâce à un fichier MP3 ou FLAC. Il suffit pour cela que l'utilisateur télécharge le fichier vérolé, puis l'exécute ou l'affiche dans l'explorateur des fichiers. Le chercheur a réalisé deux vidéos qui démontrent son hack, l'une sous Fedora, l'autre sous Ubuntu. Dans les deux cas, l'exécution de la "charge utile" est symbolisée par l'ouverture de la calculatrice Linux.

L'attaque repose en fait sur une faille dans la gestion des fichiers audio de type Super Nintendo System (.SPC). En effet, la plateforme GStreamer, qui gère le traitement des fichiers multimédia sous Linux, est parfaitement capable de lire ces fichiers grâce à un émulateur qui simule le CPU et le processeur audio d'une console Super Nintendo. C'est incroyable et on ne sait pas vraiment pourquoi cela existe encore, mais c'est vrai.