La bibliothèque libinput est passée en version 1.31.2, et pas pour ajouter des fonctions, mais pour boucher un trou de sécurité plutôt vilain. C'est elle qui gère vos périphériques d'entrée (clavier, souris, pavé tactile, manette) sur la quasi-totalité des Linux modernes, aussi bien sous Wayland que sous l'ancien serveur graphique X.Org.

Autant dire qu'elle tourne sur presque toutes les machines de bureau sous Linux, des plus grand public aux plus pointues.

Le problème permettait d'exécuter du code arbitraire avec les droits root, c'est-à-dire les pleins pouvoirs sur le système. Et tout ça en passant par un détail qu'on n'imagine pas dangereux, le nom physique d'un faux périphérique.

Sur Linux, n'importe quel logiciel peut fabriquer un périphérique virtuel via deux interfaces du noyau, uinput et uhid. Pour les regrouper, libinput s'appuie sur udev, le composant qui détecte et configure tout ce qu'on branche sur la machine.

Et c'est là que ça coince. Un attaquant pouvait créer un appareil bidon dont l'attribut PHYS, le chemin physique du matériel, contenait un simple retour à la ligne. Du coup, udev lisait cette unique valeur comme deux lignes séparées, donc deux paires clé-valeur, dont une totalement injectée par l'attaquant.

Cette ligne injectée suffisait à détourner le comportement de udev et, au bout de la chaîne, à faire tourner la commande de son choix en root. Une injection par saut de ligne. Bête, mais redoutable.

Reste une nuance importante. Fabriquer un tel périphérique demande normalement les droits root, ce qui limite déjà beaucoup le danger. Sauf que certaines règles udev personnalisées ouvrent la porte aux utilisateurs normaux.

L'exemple cité est parlant. Installer le paquet "steam-devices" sur Fedora, ce que fait n'importe quel joueur pour que ses manettes soient correctement reconnues, suffit à exposer la faille à toute personne connectée à la session. Un geste parfaitement banal, donc.

La faille a été repérée par un chercheur surnommé Csome, et Peter Hutterer, le mainteneur historique de libinput, a publié le correctif dans la 1.31.2. La marche à suivre tient en une ligne, mettre à jour dès que votre distribution pousse le paquet.

Une faille root planquée dans le nom d'une fausse manette, déclenchée par un paquet aussi anodin que celui de Steam, ça a quand même quelque chose de franchement pénible.

Source : Phoronix

OpenLogi est une application open source qui veut remplacer Logi Options+ pour piloter les souris Logitech, sans compte et avec une solution de repli quand Logitech perd ses moyens. On l'a essayée sur Mac : la promesse tient, mais le confort, lui, attendra quelques versions.

Finalmouse dévoile la Starlight X, une souris gaming de 38 grammes équipée de la détection TMR Dual-State et d'une latence annoncée de 0,223 ms

Cet article Finalmouse Starlight X : la souris gaming ultra-légère qui veut ringardiser le polling rate a été publié en premier par GinjFo.

La MX Master 4 gagne une intégration native avec les retours haptiques de Windows 11. Certaines actions la font vibrer.

Cet article Windows 11 fait vibrer la souris MX Master 4 de Logitech a été publié en premier par GinjFo.

L'AVIOR AIR CARBON FIBER est une souris gaming sans fil équipée d'une coque en fibre de carbone faite main. Elle vise les joueurs fortunés

Cet article AVIOR AIR CARBON FIBER, une souris gaming “Premium” à 300 € a été publié en premier par GinjFo.