On peut pirater Ubuntu ou Fedora Linux avec un simple fichier MP3

pour info
http://www.01net.com/actualites/on-peut-pirater-ubuntu-ou-fedora-linux-avec-un-simple-fichier-mp3-1072388.html#?xtor=EPR-1-[N-Actus]-20161219 :’(
http://www.linuxquimper.org/forum/Smileys/default/cry.gif

Du coup c’est gstreamer le problème, pas les distributions ?

Moi le plus gros problème que je vois c’est qu’on autorise à lire des formats SPC si l’extension du fichier est en .mp3/.Flac comme si de rien n’était, devrait y avoir une alerte qui prévient que l’extension est mauvaise ; rien que ça permettait même sans patch d’alerter l’utilisateur quand un fichier aussi exotique apparaît. x)

Comme toujours on ne peut jamais être totalement étanche, mais on peut réduire la surface d’attaque en rendant l’utilisateur un peu plus conscient quand quelque chose d’inhabituel arrive.

Comme il est écrit changer les extensions des fichiers pour mieux tromper la victime mais pas le système
Sous Linux l’exécution d’un fichier n’a rien à voir avec une extension. Il peut même en être dépourvu et être exécuté par le programme qui aura été défini par défaut par exemple pour les fichiers audio
Le problème est donc la distribution qui inclut une application pas fiable comme Gstreamer ou l’outil Apport pour la faille, estampillée CVE-2016-9949,

http://www.nextinpact.com/news/102594-ubuntu-faille-critique-colmatee-dans-outil-rapport-derreurs-apport.htm

Les conseils sont dans tous les cas les mêmes que pour n’importe quelle autre exploitation de faille s’appuyant sur un fichier spécialement conçu : attention à ne pas ouvrir n’importe quelle pièce jointe dans un message. Une recommandation élémentaire qui ne dépend pas de l’installation d’un correctif ou de la présence d’une solution de sécurité, et qui reste valable sur toutes les plateformes.