{"id":1275140,"date":"2024-08-10T19:29:11","date_gmt":"2024-08-10T21:29:11","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-10-failles-dans-loutil-de-transfert-de-fichiers-quick-de-google\/"},"modified":"2024-08-10T19:29:15","modified_gmt":"2024-08-10T21:29:15","slug":"des-chercheurs-decouvrent-10-failles-dans-loutil-de-transfert-de-fichiers-quick-de-google","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-10-failles-dans-loutil-de-transfert-de-fichiers-quick-de-google\/","title":{"rendered":"Des chercheurs d\u00e9couvrent 10 failles dans l&#8217;outil de transfert de fichiers Quick de Google"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 ao\u00fbt 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Vuln\u00e9rabilit\u00e9 \/ S\u00e9curit\u00e9 mobile<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Des-chercheurs-decouvrent-10-failles-dans-loutil-de-transfert-de.png\" style=\"display: block; text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Pas moins de 10 failles de s\u00e9curit\u00e9 ont \u00e9t\u00e9 d\u00e9couvertes dans le syst\u00e8me d&#8217;exploitation de Google. <a rel=\"nofollow noopener\" href=\"https:\/\/support.google.com\/chromebook\/answer\/10751738?hl=en\" target=\"_blank\">Partage rapide<\/a> utilitaire de transfert de donn\u00e9es pour Android et Windows qui pourrait \u00eatre assembl\u00e9 pour d\u00e9clencher une cha\u00eene d&#8217;ex\u00e9cution de code \u00e0 distance (RCE) sur les syst\u00e8mes sur lesquels le logiciel est install\u00e9.<\/p>\n<p>\u00ab L&#8217;application Quick Share impl\u00e9mente son propre protocole de communication de couche applicative sp\u00e9cifique pour prendre en charge les transferts de fichiers entre des appareils compatibles \u00e0 proximit\u00e9 \u00bb, expliquent les chercheurs de SafeBreach Labs, Or Yair et Shmuel Cohen. <a rel=\"nofollow noopener\" href=\"https:\/\/www.safebreach.com\/blog\/rce-attack-chain-on-quick-share\" target=\"_blank\">dit<\/a> dans un rapport technique partag\u00e9 avec The Hacker News.<\/p>\n<p>\u00ab En \u00e9tudiant le fonctionnement du protocole, nous avons pu identifier et brouiller la logique de l&#8217;application Quick Share pour Windows que nous pouvions manipuler ou contourner. \u00bb<\/p>\n<p>Le r\u00e9sultat est la d\u00e9couverte de 10 vuln\u00e9rabilit\u00e9s \u2013 neuf affectant Quick Share pour Windows et une impactant Android \u2013 qui pourraient \u00eatre transform\u00e9es en une cha\u00eene d&#8217;attaque RCE \u00ab innovante et non conventionnelle \u00bb pour ex\u00e9cuter du code arbitraire sur des h\u00f4tes Windows. La cha\u00eene d&#8217;attaque RCE a \u00e9t\u00e9 baptis\u00e9e \u00ab RCE \u00bb <strong>QuickShell<\/strong>.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-a-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Le-ministere-de-la-Justice-accuse-un-homme-de-Nashville.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les failles comprennent six failles de d\u00e9ni de service \u00e0 distance (DoS), deux bugs d&#8217;\u00e9criture de fichiers non autoris\u00e9s identifi\u00e9s chacun dans les versions Android et Windows du logiciel, une travers\u00e9e de r\u00e9pertoire et un cas de connexion Wi-Fi forc\u00e9e.<\/p>\n<p>Les probl\u00e8mes ont \u00e9t\u00e9 r\u00e9solus dans la version 1.0.1724.0 de Quick Share et les versions ult\u00e9rieures. Google suit collectivement les failles sous les deux identifiants CVE ci-dessous\u00a0:<\/p>\n<ul>\n<li><strong><a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2024-38271\" target=\"_blank\">CVE-2024-38271<\/a><\/strong>  (Score CVSS\u00a0: 5,9)\u00a0&#8211; Une vuln\u00e9rabilit\u00e9 qui oblige une victime \u00e0 rester connect\u00e9e \u00e0 une connexion Wi-Fi temporaire cr\u00e9\u00e9e pour le partage<\/li>\n<\/ul>\n<ul>\n<li><strong><a rel=\"nofollow noopener\" href=\"https:\/\/www.cve.org\/cverecord?id=CVE-2024-38272\" target=\"_blank\">CVE-2024-38272<\/a><\/strong>  (Score CVSS\u00a0: 7,1)\u00a0&#8211;\u00a0Une vuln\u00e9rabilit\u00e9 qui permet \u00e0 un attaquant de contourner la bo\u00eete de dialogue d&#8217;acceptation de fichier sous Windows<\/li>\n<\/ul>\n<p>Quick Share, anciennement Nearby Share, est un utilitaire de partage de fichiers peer-to-peer qui permet aux utilisateurs de transf\u00e9rer des photos, des vid\u00e9os, des documents, des fichiers audio ou des dossiers entiers entre des appareils Android, des Chromebooks et des ordinateurs de bureau et portables Windows \u00e0 proximit\u00e9. Les deux appareils doivent \u00eatre \u00e0 moins de 5 m (16 pieds) l&#8217;un de l&#8217;autre et le Bluetooth et le Wi-Fi doivent \u00eatre activ\u00e9s.<\/p>\n<p>En un mot, les failles identifi\u00e9es pourraient \u00eatre utilis\u00e9es pour \u00e9crire des fichiers \u00e0 distance dans des appareils sans approbation, forcer l&#8217;application Windows \u00e0 planter, rediriger son trafic vers un point d&#8217;acc\u00e8s Wi-Fi sous le contr\u00f4le d&#8217;un attaquant et traverser des chemins vers le dossier de l&#8217;utilisateur.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1723195626_70_Le-ministere-de-la-Justice-accuse-un-homme-de-Nashville.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Mais plus important encore, les chercheurs ont d\u00e9couvert que la capacit\u00e9 de forcer l\u2019appareil cible \u00e0 se connecter \u00e0 un autre r\u00e9seau Wi-Fi et \u00e0 cr\u00e9er des fichiers dans le dossier T\u00e9l\u00e9chargements pouvait \u00eatre combin\u00e9e pour lancer une cha\u00eene d\u2019\u00e9tapes qui m\u00e8ne finalement \u00e0 l\u2019ex\u00e9cution de code \u00e0 distance.<\/p>\n<p>Les r\u00e9sultats, <a rel=\"nofollow noopener\" href=\"https:\/\/defcon.org\/html\/defcon-32\/dc-32-speakers.html#54485\" target=\"_blank\">pr\u00e9sent\u00e9 pour la premi\u00e8re fois<\/a> Les r\u00e9sultats pr\u00e9sent\u00e9s aujourd&#8217;hui au DEF CON 32 sont le point culminant d&#8217;une analyse plus approfondie du protocole propri\u00e9taire bas\u00e9 sur Protobuf et de la logique qui sous-tend le syst\u00e8me. Ils sont importants notamment parce qu&#8217;ils mettent en \u00e9vidence comment des probl\u00e8mes connus apparemment inoffensifs pourraient ouvrir la voie \u00e0 un compromis r\u00e9ussi et pourraient pr\u00e9senter de graves risques lorsqu&#8217;ils sont combin\u00e9s \u00e0 d&#8217;autres failles.<\/p>\n<p>\u00ab Cette \u00e9tude r\u00e9v\u00e8le les d\u00e9fis de s\u00e9curit\u00e9 pos\u00e9s par la complexit\u00e9 d&#8217;un utilitaire de transfert de donn\u00e9es qui tente de prendre en charge autant de protocoles et d&#8217;appareils de communication \u00bb, a d\u00e9clar\u00e9 SafeBreach Labs dans un communiqu\u00e9. \u00ab Elle souligne \u00e9galement les risques de s\u00e9curit\u00e9 critiques qui peuvent \u00eatre cr\u00e9\u00e9s en encha\u00eenant des vuln\u00e9rabilit\u00e9s apparemment \u00e0 faible risque, connues ou non corrig\u00e9es. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/researchers-uncover-10-flaws-in-googles.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 ao\u00fbt 2024\ue804Ravie LakshmananVuln\u00e9rabilit\u00e9 \/ S\u00e9curit\u00e9 mobile Pas moins de 10 failles de s\u00e9curit\u00e9 ont \u00e9t\u00e9 d\u00e9couvertes dans le syst\u00e8me d&#8217;exploitation de Google. Partage rapide utilitaire de transfert de donn\u00e9es pour Android et Windows qui pourrait \u00eatre assembl\u00e9 pour d\u00e9clencher une cha\u00eene d&#8217;ex\u00e9cution de code \u00e0 distance (RCE) sur les syst\u00e8mes sur lesquels le logiciel [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1275141,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,12848,4168,6124,429,3073,133,4806,21769,7755,238584,200271,5665,238334,98340,41895,238617,246491,4172,394,4166,238583],"class_list":["post-1275140","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-chercheurs","tag-comment-pirater","tag-cyberattaques","tag-dans","tag-decouvrent","tag-des","tag-failles","tag-fichiers","tag-google","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-loutil","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-quick","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-transfert","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1275140","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1275140"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1275140\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1275141"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1275140"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1275140"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1275140"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}