Cinnamon : quand le clavier virtuel sur l’écran créait une faille de sécurité

Cinnamon : quand le clavier virtuel sur l’écran créait une faille de sécurité

Bonjour,

Linux Mint Cinnamon a mis en place un patch pour corriger une faille de sécurité.

Cette faille a été découverte par des enfants qui essayaient de débloquer l’ordinateur de leur papa. En jouant avec le clavier virtuel sur l’écran, ils ont réussi à faire planter la gestion du déverrouillage de l’écran et donc à prendre la main sur la session de l’ordinateur de leur papa.

Le papa a alors signalé le bogue dans un espace dédié à cela pour Linux Mint. (1) Les enfants et lui n’étaient pas capables de dire précisément laquelle des actions réalisées tout à fait au hasard permettait de débloquer l’ordinateur, mais ils avaient réussi à reproduire le bogue.

Clement LEFEBVRE, responsable de développement pour Linux Mint a analysé le bogue rapporté, et communiqué sur son suivi dans ce même espace. (1)

Ce qui faisait planter l’écran de déverrouillage était l’appui sur la touche « ē » du clavier virtuel sur l’écran (OSK = On Screen Keyboard). Cela faisait également planter l’environnement de bureau si cette touche était utilisée sur ce même clavier virtuel affiché dans une session de travail.

Le fautif était le gestionnaire de ce clavier virtuel sur l’écran, Caribou (libcaribou). Caribou provoquait ce comportement dans Cinnamon et le provoque potentiellement encore dans toute application qui en utilise une version non « patchée ».

Les versions 4.2 et supérieures de Cinnamon étaient affectées, et donc les versions Linux Mint associées à l’environnement de bureau Cinnamon depuis la version 19.2 « Tina » ainsi que LMDE (Linux Mint Debian Edition) 4 utilisant Cinnamon.

Le clavier virtuel sur l’écran et la touche « ē » incriminée (accessible après un appui long sur le « e »).

Le patch de sécurité a été mis à disposition mercredi dernier, et intégré dans les mises à jour de toutes les versions de Linux Mint concernées.

Mon conseil : Si, comme je vous le recommande toujours, vous réalisez vos mises à jour de sécurité régulièrement, vous n’avez rien à faire de plus. Si vous ne faites pas vos mises à jour, il est peut-être temps de vous y mettre.

Clement LEFEBVRE a également signalé l’ajout d’une demande de développement d’une fonction pour permettre aux utilisateurs de Linux Mint Cinnamon de désactiver le clavier virtuel à l’écran (OSK) à l’avenir. (1)

Petit complément (compliment) sur les codes libres et ouverts

Le projet Caribou, qui semble n’être plus actif sur GNOME ni très suivi par ses développeurs, pourrait être repris en charge par les équipes de Linux Mint Cinnamon.

C’est un des intérêts de l’environnement Libre et Open Source : Le code étant ouvert public et libre, si le projet n’est pas parfait, ou s’il n’est plus maintenu, tout le monde peut intervenir pour l’améliorer, soit s’intégrant à l’équipe de projet, soit en créant un « fork » (un projet indépendant qui vit sa vie).

Cinnamon est un « fork » de GNOME par exemple. (2)

À votre service,

Marc JESTIN


Pour développer

(1) Suivi du bogue rapporté (anglais) : Screensaver lock by-pass via the virtual keyboard #354

(2) Présentation succincte de Cinnamon.

Linux Mint fixes screensaver bypass discovered by two kids, ZDnet, 15 janvier 2021 (anglais)


Articles similaires :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *