Vulnérabilité critique découverte dans le conteneur de construction de ToDesktop
Un chercheur en sécurité, en enquêtant sur le programme d'installation de l'éditeur de texte IA Cursor, a découvert une vulnérabilité critique dans ToDesktop, le service d'assemblage d'applications Electron sur lequel il s'appuie. Grâce à l'ingénierie inverse et à l'exploitation, le chercheur a obtenu un contrôle total du conteneur de construction de ToDesktop et l'accès à sa base de données Firebase, incluant les clés sensibles pour la signature et le téléchargement des applications. Cela a permis le déploiement potentiel de mises à jour malveillantes à des millions d'utilisateurs, entraînant une exécution de code à distance (RCE). ToDesktop a réagi rapidement, en corrigeant la vulnérabilité et en reconnaissant la contribution du chercheur. L'incident souligne la nécessité constante de vigilance et d'amélioration de la sécurité de la chaîne d'approvisionnement logicielle.