La bibliothèque libinput, pilier de la gestion des périphériques d'entrée sous Linux, a reçu une mise à jour urgente. Une vulnérabilité a été détectée, permettant à un périphérique falsifié de tromper le système udev. L'attaquant peut exécuter du code malveillant avec les privilèges d'administrateur, compromettant la sécurité de l'équipement sans nécessiter d'accès physique direct.
La tromperie d'udev : comment une souris factice prend le contrôle 🖱️
Le défaut réside dans la manière dont libinput traite les événements des périphériques. Un périphérique frauduleux peut injecter des données qu'udev interprète comme des ordres valides pour modifier les règles du système. Cela permet à l'attaquant d'élever ses privilèges et d'exécuter des commandes arbitraires. La correction valide désormais de manière stricte l'origine de chaque événement, empêchant un clavier ou une souris factice de se faire passer pour un autre matériel autorisé.
Ton clavier te déteste (et il peut maintenant effacer ton système) ⌨️
Tu as toujours soupçonné que ton clavier avait sa propre vie, mais il s'avère maintenant qu'une souris de jeu peut faire plus de dégâts qu'un hacker en soutane. La bonne nouvelle, c'est que tu n'auras plus à frapper ton périphérique avec un marteau pour te sentir en sécurité. Mets à jour libinput et arrête de craindre la souris du bureau. Du moins jusqu'au prochain correctif.