Vlákno názorů k článku
KDE je zranitelné, stačí připojit disk do USB
od ByCzech - Jsem si to vyzkoušel... No, hezké :D
Akorát ten...
-
KateStříbrný podporovatelDostatečnou škodu to nadělá i bez roota… Můj home je pro mě poněkud důležitější než třeba /usr který to bez roota nechá na pokoji :)
Na stranu druhou, se snapshoty by si to neporadilo, takže i v tomhle jsem v klidu. -
Co si vzpomínám, Chrome umí automaticky downloadovat soubory. Dal by se vymyslet dvoustupňový targetted attack, kdy oběť nejdříve dostaneme na škodlivou stránku, která stáhne nějaké "PDF" (může jít o nevalidní PDF nebo možná i o obojživelníka, který je validním PDF a může být zpracován i jako shellový skript) a potom oběti nastrčíme třeba flashku, která to spustí.
Otázkou je, jestli by na podobný útok pak nestačilo https://hakshop.com/products/usb-rubber-ducky-deluxe , ale samozřejmě počítač lze nakonfigurovat například tak, aby USB klávesnici ignoroval.
-
Palo M. (neregistrovaný)
Aj ja som si to vyskusal, a mne to nefungujeee... Fnuk-fnuk.
Aha, to je vlastne dobre, ze?Ze by to bolo tym, ze mam este KDE4 a nie ten patkovy zazrak? Tak som sa v tom povrtal, a fakt!
Uplne najlepsie je to, ze v stvorkovych zdrojakoch je pouzite expandMacrosShellQuote() (teda to iste, co vo fixe tohoto bugu pre KDE5). Takze tu chybu tam zaniesli az s KDE5.Dobre to chlapci hnoja, len co je pravda. Hlavne treba vsetko zakazdym prekopat a namastit tam nove zbytocne chyby (a tato bola teda fakt zbytocna). Uz sa tesime na KDE6!!!
-
Chtěl jsem navrhnout spustit něco z flashky, ale hádám, že příkaz se vykoná ještě před namountováním. Možná by ale šlo vyhrát race u sh /*/*/*/_&. Zvlášť na sestavách s rotačním diskem by to někdy mohlo na pozadí dlouho prohledávat a flashka by se stihla namountovat. A pokud se to namountuje jako executable, můžeme ještě jednu úroveň přidat, protože můžeme ušetřit tři písmenka na "sh " .
