blake frantz a rapporté une vulnérabilité, classifiée comme "faiblement critique", dans le kernel Linux, qui pourrait être exploitée par un utilisateur local malveillant pour révéler des informations sensibles.

La vulnérabilité est due à une erreur dans la fonction "do_coredump()" du script "fs/exec.c" qui ne vérifie par correctement l'ID de l'utilisateur d'un fichier core dump, lorsque les informations sont insérées dans ce fichier. Cette erreur peut être exploitée pour obtenir l'accès à des informations sensibles en incitant une application ayant un autre ID utilisateur à saisir ses données dans un fichier déjà existant.

La vulnérabilité a été rapportée pour les versions 2.4.x et 2.6.x antérieures à la version 2.6.24-rc4.
Le fournisseur propose la mise à jour 2.6.24-rc4 pour combler cette vulnérabilité.

Source : Kataz.com

En tête de liste Gmail et Picasa, dans le premier une simple animation flash permet parait-il de s'emparer de toutes les données (y compris les emails) d'un autre utilisateur du service. et dans le deuxième, avec une simple manipulation d'URI, un pirate peut avoir accès à des clichés d'autres personnes utilisant le service.

espérant que google réagira vite et corrigera ces aberrations sans plus tarder.