Infos

Vulnérabilité 0jour découverte dans Unity Web Player

Les détails d’une vulnérabilité 0jour détectée dans le plug-in Unity Web Player pour navigateur ont été divulgués. Elle permettrait à l’attaquant d’utiliser les informations d’authentification de la victime afin de lire les messages ou de réaliser d’autres actions malveillantes impliquant l’accès à des services en ligne d’autrui.

Jouko Pynnonen, le chercheur finnois à l’origine de la découverte, a opté pour la divulgation partielle près de six mois après la remise de son rapport au développeur, qui est toujours sans réponses. D’après ce chercheur, Unity Technologies n’a accusé la réception du rapport sur le bogue qu’avant hier et affirme qu’elle étudie une solution et adoptera les mesures nécessaires pour améliorer la procédure de réaction face aux incidents de sécurité de l’information.

La société propose Unity Web Player avec son moteur qui est utilisé par les développeurs de jeux informatiques sous Windows ou Mac OS X, ainsi que pour les consoles spécialisées et les périphériques mobiles. Ce plug-in est utilisé dans de nombreux jeux sur Facebook ; le réseau social propose même un SDK afin qu’il soit possible d’intégrer ses fonctions à divers jeux Unity. D’après les statistiques d’Unity Technologies, ce lecteur a été téléchargé plus de 125 millions de fois.

Bien que la portée de cette vulnérabilité soit assez vaste, la décision récente de Google de désactiver NPAPI dans son navigateur devrait réduire sensiblement les risques. Cette API qui remonte aux années 90 est bien connue pour son rôle central dans les plantages, les échecs et les problèmes de sécurité. La fin de la prise en charge de NPAPI à partir de Chrome 42 et suivant implique la désactivation par défaut non seulement d’Unity Web Player, mais d’autres plug-ins également comme Java et Silverlight (cette désactivation peut encore être désactivée manuellement).

Jouko Pynnonen est persuadé que la « décision de Google dans Chrome va considérablement réduire le problème. Pour exécuter le plug-in, il faut introduire des modifications dans les paramètres. Unity ne fonctionnera tout simplement pas sans celles-ci. A l’avenir, cette possibilité sera supprimée. »

Afin de pouvoir exploiter cette nouvelle vulnérabilité, l’individu malintentionné devra attirer l’utilisateur sur son site avec une version malveillante d’Unity ou introduire un malware de ce genre dans une ressource légitime ou, par exemple, dans un jeu pour Facebook. Selon l’analyse du chercheur finnois, cette vulnérabilité permet à une version malveillante d’Unity de contourner la stratégie de la source unique qui empêche l’accès aux URL ou aux ressources d’un autre domaine. Une exploitation réussie via Internet Explorer permettrait à l’attaquant de consulter les fichiers stockés localement.

D’après Jouko Pynnonen, le malware téléchargé depuis un site spécial substitue l’URL dans le navigateur. L’application Unity d’origine doit intercepter ces redirections, mais dans le cas qui nous occupe, cela ne se produit pas. « Certaines versions de plug-ins et de navigateurs imposent l’utilisation d’une adresse IP représentée par 10 chiffres sans point et non pas sous la forme d’un nom de nœud facile à lire. En cas d’utilisation d’enregistrements sous la forme d’une série de dix chiffres sans point, le site de l’attaquant doit avoir le fichier crossdomain.xml pour garantir un accès total » explique le chercheur. Les fichiers crossdomain.xml peuvent étendre les stratégies qui empêchent de tels accès extérieur.

Jouko Pynnonen a enregistré une petite vidéo dans laquelle il présente la preuve de concept. On y voit comment l’application, après avoir été chargée, sollicite une URL particulière sur le site de l’attaque et reçoit en réponse l’erreur 301 avec une redirection vers Gmail. Ensuite, le navigateur, grâce aux informations d’authentification de l’utilisateur, charge la liste des message pour l’attaquant qui peut ainsi lire n’importe quel message.

Jouko Pynnonen souligne que « le niveau d’interaction [avec la victime] dépend du type de navigateur et de sa version. Au cours de ces dernières années et de ces derniers mois, le fonctionnement des plug-ins pour Internet a été soumis à des restrictions sensibles, particulièrement dans Chrome. Certains navigateurs ont exécuté l’application dès l’affichage de la page. D’autres demandent une autorisation d’exécution. L’utilisateur peut décider d’autoriser l’exécution de toutes les applications d’Unity lorsqu’il exécute la première, etc. »

« Si l’exécution du plug-in (Unity Web Player) est autorisée, il charge automatiquement l’application et l’exécute dans le navigateur. Elle est censée s’exécuter sans danger dans un bac à sable, comme les applications ou les applets Java » ajoute l’expert.

Source: Threatpost

Vulnérabilité 0jour découverte dans Unity Web Player

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception