Linode Security Digest 8-12 août 2022

Dans le résumé de cette semaine, nous discuterons :

• une vulnérabilité de type cross-site scripting qui peut conduire à l'exécution de code à distance dans Joplin ;
• une vulnérabilité de débordement de mémoire tampon dans zlib ; et
• de multiples vulnérabilités ont été identifiées dans le pilote d'affichage NVIDIA GPU .

Joplin : exécution de code à distance par XSS

Une vulnérabilité d'exécution de code via XSS a été identifiée dans Joplin qui pourrait permettre aux attaquants d'exécuter des commandes arbitraires par le biais d'une charge utile élaborée injectée dans les titres Node. Joplin est une application de prise de notes basée sur le markdown, gratuite et open source, compatible avec de nombreux systèmes d'exploitation tels que Windows, Mac et Linux. 

La vulnérabilité provient de la façon dont la méthode dangerouslySetInnerHTML() est utilisée avec une entrée utilisateur non codée dans GotoAnything.tsx. Cela permet à un attaquant d'exécuter du code à distance sur le système de la victime simplement en partageant un carnet de notes avec la charge utile vulnérable dans les titres de nœuds. La charge utile s'exécute chaque fois que la victime recherche le carnet.

Le correctif a été publié dans la version 2.9.1 de Joplin. La version 2.8.8 de Joplin et les versions antérieures sont concernées. Cette vulnérabilité, enregistrée sous le nom de CVE-2022-35131, a été notée 9.0 dans la notation CVSS sur NVD en raison de l'impact élevé sur la confidentialité, l'intégrité et la disponibilité. Pour qu'une attaque réussisse, il faut que tout utilisateur authentifié recherche le bloc-notes vulnérable.

Nous vous recommandons de mettre à jour Joplin à la dernière version dès que possible, surtout si vous recevez des carnets partagés.

Vulnérabilité de Zlib par débordement de tampon basé sur le tas

Une vulnérabilité de débordement de tampon basée sur le tas a été identifiée dans zlib, une bibliothèque populaire à usage général utilisée pour la compression de données. La vulnérabilité a été enregistrée sous le nom de CVE-2022-37434 et affecte toutes les versions inférieures à 1.2.12.

L'exploitation de la vulnérabilité est possible en raison d'un dépassement de tampon basé sur le tas ou d'un débordement de tampon dans inflate.c à travers un champ supplémentaire d'en-tête gzip de grande taille. Selon le commentaire de la demande d'extraction que les développeurs ont créé, si le champ supplémentaire était plus grand que l'espace fourni par l'utilisateur avec inflateGetHeader(), et si plusieurs appels de inflate() ont fourni les données d'en-tête supplémentaires, alors il pourrait y avoir un débordement de tampon de l'espace fourni. Cette vulnérabilité n'affecte que les applications qui utilisent la méthode inflateGetHeader(). 

Découverte de multiples vulnérabilités dans les pilotes d'affichage de NVIDIA GPU

NVIDIAl'un des fabricants les plus populaires de GPU , a publié un avis de sécurité concernant de multiples vulnérabilités découvertes dans son pilote d'affichage GPU pour les plates-formes Windows et Linux. Ces vulnérabilités peuvent être exploitées pour mener différents types d'attaques tels que le déni de service, la divulgation d'informations, l'élévation de privilèges, l'exécution de code ou la falsification de données. 

L'une des vulnérabilités les plus graves, CVE-2022-31607, affecte la couche du mode noyau (nvidia.ko), où un utilisateur local ayant des capacités de base peut provoquer une validation d'entrée incorrecte conduisant à plusieurs voies d'exploitation, selon l'avis de sécurité deNVIDIA. Cette vulnérabilité affecte Linux et a un score CVSS de 7.8 avec une note élevée pour la confidentialité, l'intégrité et la disponibilité. 

CVE-2022-31608 décrit une vulnérabilité dans un fichier de configuration D-Bus optionnel qui peut conduire à l'exécution de code. Cette vulnérabilité peut être exploitée par un utilisateur local disposant de capacités de base. La plupart des CVE mentionnés dans l'avis de sécurité de NVIDIAnécessitent des privilèges locaux sur le système de la victime pour que l'exploitation réussisse. 

Vous pouvez utiliser ce guide de NVIDIA pour savoir quel pilote d'affichage NVIDIA est actuellement installé sur votre PC.