Gusar

Уязвимость в KDE позволяет выполнять команды путем открытия папки ( 1 фото )


Уязвимость в KDE позволяет выполнять команды путем открытия папки Интернет и компьютер,kde,linux,уязвимость

Уязвимость внедрения команд затрагивает класс KDesktopFile в версиях KDE 4 и 5.

Исследователь безопасности Доминик Пеннер (Dominik Penner) обнаружил уязвимость в KDE 4 и 5, позволяющую выполнить произвольны код, заставив жертву загрузить архив, а затем разархивировать и открыть папку.

Как пояснил Пеннер, уязвимость внедрения команд затрагивает класс KDesktopFile. При инстаницировании (создании экземпляра класса) файла .desktop или .directory он небезопасным образом оценивает переменные окружения и расширения оболочки, используя KConfigPrivate::expandString () через функцию KConfigGroup::readEntry (). С помощью особым образом сконфигурированного файла .desktop удаленный атакующий может скомпрометировать систему жертвы, просто заставив ее загрузить и просмотреть этот файл.

Уязвимость затрагивает версии KDE 4 и 5 и позволяет встроенным в файлы .desktop и .directory командам выполняться сразу после открытия файла или в некоторых случаях после распаковки архива. В настоящее время практически во всех дистрибутивах Linux используются уязвимые версии KDE.

Пеннер уведомил Ubuntu об уязвимости после того, как сообщил о ней широкой общественности. По его словам, он «хотел принести уязвимость 0day на Defcon, чтобы люди могли поэкспериментировать с ней».

Взято: Тут

+1113
  • 0
  • 861
Обнаружили ошибку?
Выделите проблемный фрагмент мышкой и нажмите CTRL+ENTER.
В появившемся окне опишите проблему и отправьте уведомление Администрации.
Нужна органическая вечная ссылка из данной статьи? Постовой?
Подробности здесь

Добавить комментарий

  • Внимание!!! Комментарий должен быть не короче 40 и не длиннее 3000 символов.
    Осталось ввести знаков.
    • angelangryapplausebazarbeatbeerbeer2blindbokaliboyanbravo
      burumburumbyecallcarchihcrazycrycup_fullcvetokdadadance
      deathdevildraznilkadrinkdrunkdruzhbaedaelkafingalfoofootball
      fuckgirlkisshammerhearthelphughuhhypnosiskillkissletsrock
      lollooklovemmmmmoneymoroznevizhuniniomgparikphone
      podarokpodmigpodzatylnikpokapomadapopapreyprivetprostitequestionrofl
      roseshedevrshocksilaskuchnosleepysmehsmilesmokesmutilisnegurka
      spasibostenastopsuicidetitstorttostuhmylkaumnikunsmileura
      vkaskewakeupwhosthatyazykzlozomboboxah1n1aaaeeeareyoukiddingmecerealguycerealguy2
      challengederpderpcryderpgopderphappyderphappycryderplolderpneutralderprichderpsadderpstare
      derpthumbderpwhydisappointfapforeveraloneforeveralonehappyfuckthatbitchgaspiliedjackielikeaboss
      megustamegustamuchomercurywinnotbadnumbohgodokaypokerfaceragemegaragetextstare
      sweetjesusfacethefuckthefuckgirltrolltrolldadtrollgirltruestoryyuno