Intel publie par erreur des détails sur une vulnérabilité deux mois avant l'arrivée des correctifs

Un chercheur en sécurité de chez Google met en garde contre des vulnérabilités zero-day dans la pile Bluetooth du noyau Linux qui permettent aux cybercriminels d’élever leurs privilèges jusqu’à un accès racine (root). Un correctif devrait être disponible dans Linux Kernel 5.10, qui sortira dans quelques mois, ce qui signifie que tous les appareils, mobiles ou PC, utilisant la pile BlueZ seront vulnérables pendant un certain temps.

 

Les vulnérabilités du sous-système BlueZ ont reçu un nom, BleedingTooth, ce qui n’arrive généralement qu’en cas de problèmes de sécurité graves. Dans ce cas, Intel indique que la validation d’entrée dans BlueZ peut permettre à un utilisateur non authentifié d’activer l’élévation des privilèges via un accès adjacent.

 

Plus précisément, le chercheur en sécurité Andy Nguyen, qui a découvert le problème, a expliqué sur Twitter :

 

«BleedingTooth est un ensemble de vulnérabilités sans clic dans le sous-système Bluetooth Linux qui peut permettre à un attaquant non authentifié à courte distance d’exécuter du code arbitraire avec les privilèges du noyau sur les appareils vulnérables.»

 

Le chercheur a également publié une courte vidéo montrant que les vulnérabilités sont présentes et fonctionnent sans accroc. Mais c’est là que le véritable problème apparait. Dans la première itération de l’avis, Intel a déclaré que les correctifs du noyau Linux seraient disponibles avec la version 5.9, qui est sorti il y a quelques jours.

 

Malheureusement, ils ont commis une erreur en coordonnant la divulgation de la vulnérabilité. Pour des raisons inconnues, Intel a déclaré que les correctifs seraient disponibles dans le noyau Linux 5.9, mais les correctifs sont en réalité prévus pour sortir au sein du noyau Linux 5.10, qui est attendu pour la fin décembre.

 

En d’autres termes, Intel vient de publier des détails sur une vulnérabilité zero-day qui ne recevra des correctifs que dans deux mois, laissant les utilisateurs Linux du monde entier exposés à des attaques potentielles. Un des responsables du noyau Linux a déclaré sur Twitter :

 

«Ils prétendent maintenant que vous avez besoin d’un noyau 5.10 ou plus récent pour résoudre ce problème. Or, 5.10 sortira fin décembre 2020. Intel sait très bien comment ça fonctionne, cette divulgation semble malveillante à ce stade…»