L’application de bureau EdgeRover de Western Digital pour Windows et Mac est vulnérable à l’élévation des privilèges locaux et aux bugs d’échappement de sandboxing qui pourraient permettre la divulgation d’informations sensibles ou des attaques par déni de service (DoS).
EdgeRover est une solution de gestion de contenu centralisée pour les produits Western Digital et SanDisk, unifiant plusieurs périphériques de stockage numérique sous une seule interface de gestion.
Il s’agit d’une solution logicielle propriétaire visant à accroître la convivialité et le confort, offrant de puissantes options de recherche de contenu, de filtrage, de catégorisation, de paramètres de confidentialité, de création de collection, de détection des doublons, etc.
Considérant que Western Digital est l’un des fabricants et détaillants de produits de stockage numérique les plus prospères au monde, il y a probablement un nombre important de personnes qui utilisent EdgeRover pour la gestion des données.
Un problème d’exposition de données
La vulnérabilité, suivie comme CVE-2022-22998, est un bug de traversée de répertoire, permettant un accès non autorisé à des répertoires et fichiers restreints. La vulnérabilité a reçu une cote de gravité CVSS v3 de 9,1, catégorisant la faille comme critique.
Western Digital bref avis ne fournit pas beaucoup de détails concernant la vulnérabilité, il n’est donc pas clair s’il s’agit d’un bug de détournement de DLL permettant une élévation locale des privilèges ou d’un bug permettant l’accès à des emplacements de données non privilégiés.
Cependant, Western Digital conseille à ses clients de mettre à jour leurs applications de bureau EdgeRover vers la version 1.5.1-594 ou ultérieure, publiée la semaine dernière pour résoudre ces vulnérabilités.
La faille a été découverte par le chercheur en menaces Xavier Danest, qui l’a divulguée de manière responsable au fournisseur.
Western Digital a résolu le problème de sécurité en corrigeant les autorisations de fichiers et de répertoires pour empêcher tout accès et modification non autorisés.
On ne sait pas si la vulnérabilité a été activement exploitée, EZpublish-france.fr a contacté le géant du matériel pour demander plus de détails.
Il convient de noter que pour qu’un acteur malveillant utilise cette vulnérabilité pour voler vos données, il est probable que votre système ait déjà été compromis d’une manière ou d’une autre.
Les applications de gestion de collection de médias peuvent sembler attrayantes, en particulier pour les utilisateurs qui ont besoin d’organiser plusieurs téraoctets de données provenant de diverses sources. Néanmoins, il ne faut pas oublier que chaque application comporte son propre ensemble de risques de sécurité et de confidentialité.
Dans ce cas, c’est la commodité par rapport à la sécurité, car CVE-2022-22998 pourrait potentiellement conduire à l’exposition de l’ensemble des médias privés et de la collecte de données des utilisateurs.
Si ce scénario vous inquiète, nous vous suggérons de vous en tenir au gestionnaire de fichiers par défaut fourni avec votre système d’exploitation et de limiter au minimum le nombre d’applications tierces sur votre système.