Vulnérabilité critique découverte dans le conteneur de construction de ToDesktop
Un chercheur en sécurité, en enquêtant sur le programme d'installation de l'éditeur de texte IA Cursor, a découvert une vulnérabilité critique dans ToDesktop, le service d'assemblage d'applications Electron sur lequel il s'appuie. Grâce à l'ingénierie inverse et à l'exploitation, le chercheur a obtenu un contrôle total du conteneur de construction de ToDesktop et l'accès à sa base de données Firebase, incluant les clés sensibles pour la signature et le téléchargement des applications. Cela a permis le déploiement potentiel de mises à jour malveillantes à des millions d'utilisateurs, entraînant une exécution de code à distance (RCE). ToDesktop a réagi rapidement, en corrigeant la vulnérabilité et en reconnaissant la contribution du chercheur. L'incident souligne la nécessité constante de vigilance et d'amélioration de la sécurité de la chaîne d'approvisionnement logicielle.
Lire plus