mardi , 25 juin 2019
Accueil / Tout / Sécurité / Des plugins d’éditeurs de texte pourraient avoir des failles de sécurité

Des plugins d’éditeurs de texte pourraient avoir des failles de sécurité

Que vous soyez développeur, concepteur ou rédacteur, un bon éditeur de texte vous aidera à gagner du temps et à travailler plus efficacement. Certains de ces éditeurs de texte avancés que vous utilisez offrent également aux utilisateurs une extensibilité, permettant aux utilisateurs d’installer et d’exécuter des plugins tiers pour étendre les fonctionnalités de l’éditeur et, surtout, sa portée.

Cependant, c’est un fait connu que les plugins tiers posent toujours un risque important de piratage, qu’il s’agisse de plugins WordPress ou d’extensions Windows pour Chrome, Firefox ou Photoshop.

Dor Azouri, chercheur de SafeBreach, a analysé plusieurs éditeurs de texte extensibles populaires pour les systèmes Unix et Linux, y compris Sublime, Vim, Emacs, Gedit et pico / nano, et a découvert que tous sauf un pourrait être exploités par des attaquants afin d’exécuter du code malveillant sur les machines d’une victime.

« Cette méthode réussit quel que soit le fichier ouvert dans l’éditeur, de sorte que même les limitations couramment appliquées sur les commandes sudo pourraient ne pas le protéger », peut-on lire dans le document [pdf].

Lire aussi : Chromium : l’autre navigateur de Google

Lire aussi :
Une voiture de Uber avec son Self-Driving Car activé a percuté et tué une femme

Le problème réside dans la façon dont ces éditeurs de texte chargent les plugins. Selon le chercheur, il y a une séparation inadéquate des modes réguliers et élevés lors du chargement des plugins pour ces éditeurs.

L’intégrité de leurs autorisations de dossier n’est pas maintenue correctement, ce qui ouvre la porte à des attaquants disposant d’autorisations d’utilisateur régulières pour élever leurs privilèges et exécuter du code arbitraire sur la machine de l’utilisateur.

Une simple campagne de malveillance pourrait permettre aux attaquants de diffuser une extension malveillante pour les éditeurs de texte vulnérables, leur permettant d’exécuter du code malveillant avec des privilèges élevés, d’installer des logiciels malveillants et de prendre à distance le contrôle total des ordinateurs ciblés.

Lire aussi :
La mise à jour automatique de WordPress ne fonctionne plus dans sa Version 4.9.3

 

Des solutions pour les éditeurs de texte

Je suggère aux utilisateurs d’Unix d’utiliser un système de détection d’intrusion basé sur l’hôte open-source, appelé OSSEC, pour surveiller activement l’activité du système, l’intégrité des fichiers, les journaux et les processus.

Les utilisateurs devraient éviter de charger des plugins tiers lorsque l’éditeur est élevé et refuser également les autorisations d’écriture pour les utilisateurs non élevés.

Azouri pense aussi qu’il serait aussi préférable de fournir une interface manuelle permettant aux utilisateurs d’approuver le chargement élevé des plugins.

A Propos Yefien

Voir aussi

Protranslate: Votre Service de traduction technique

Partager cet articleFacebookTwitterLinkedinPinterest Protranslate: votre service de traduction professionnel dédié aux particuliers et aux sociétés. …

Laisser un commentaire

Abonnez-vous à ma newsletter!
Abonnez-vous à notre bulletin électronique dès aujourd'hui pour recevoir des mises à jour sur les dernières nouvelles , et des tutoriels!
Nous respectons votre vie privée . Vos informations sont en sécurité et ne seront jamais partagées .
Abonnez-vous dès aujourd'hui .
×
×
WordPress Popup Plugin
%d blogueurs aiment cette page :