Hlavní navigace

KDE je zranitelné, stačí připojit disk do USB

Petr Krčmář

Byla objevena vážná zranitelnost v desktopovém prostředí KDE (CVE-2018–6791), konkrétně v souboru soliduiserver/deviceserviceaction.cpp. Pokud uživatel připojí externí disk se souborovým systémem VFAT, který má v popisku `` nebo $(), prostředí obsah interpretuje jako shellový příkaz. To pak může vést ke spuštění útočného kódu bez další interakce s uživatelem.

Pokud se například externí disk bude jmenovat $(touch b), vznikne v uživatelově domovském adresáři soubor s názvem b. Pro opravu musíte aktualizovat na KDE Plasma Workspace verze 5.12.0. Pokud to není možné, existuje druhé řešení: připojovat nové disky pomocí Dolphinu místo děravé komponenty device notifier.

(Zdroj: The Register)

Našli jste v článku chybu?