Awesome

A 站

kde-linux桌面会被偷偷运行恶意代码

如果您在Linux操作系统上运行的是kde桌面环境,则需要格外小心,暂时不要下载任何“.desktop”或“.directory”文件。

《kde-linux桌面会被偷偷运行恶意代码》
Kde-linux静默攻击

一位网络安全研究人员披露了kde软件框架中的一个未修补零日漏洞,该漏洞允许恶意制作的.desktop和.directory文件在用户计算机上静默运行任意代码,而不需要受害者实际打开它。

对于Linux用户来说,kde-plasma是最流行的基于小部件的开放源码桌面环境之一,在许多Linux发行版(如manjaro、opensuse、kubuntu和pclinuxos)上,它都是默认的桌面环境。

发现该漏洞的安全研究员Dominik Penner联系了黑客新闻,告知kde 4/5 Plasma桌面存在命令注入漏洞,这是因为kde处理.desktop和.directory文件的方式。

“当.desktop或.directory文件被实例化时,它不安全地通过kconfiggroup::readentry()函数使用kconfigprivate::expandString()评估环境变量和shell扩展,”Penner说。

利用这个影响kde frameworks包5.60.0及以下版本的漏洞很简单,并且涉及一些社会工程,因为攻击者需要欺骗kde用户下载包含恶意.desktop或.directory文件的存档。

研究人员解释说:“使用精心制作的.desktop文件,远程用户只需在文件管理器中下载和查看该文件,或者将其链接拖放到文档或桌面上,就会受到危害。”

“理论上,如果我们能够控制配置项并触发它们的读取,我们就可以实现命令注入/rce。”

作为概念证明,Penner还发布了漏洞利用代码以及两个视频,成功演示了利用kde kdesktopfile命令注入漏洞的攻击场景。

Ked 4/5
Ked lolz

很明显,在发布详细信息和POC漏洞攻击之前,研究人员没有向KDE开发人员报告该漏洞,KDE社区在确认该漏洞并向用户保证正在进行修复的同时表示。

“此外,如果您发现类似的漏洞,最好在公开之前发送一封电子邮件security@kde.org。这将给我们时间修补它,并在坏人试图利用它之前保护用户的安全,”KDE社区说。

与此同时,kde开发人员建议用户暂时“避免下载.desktop或.directory文件,并从不受信任的源提取档案”,直到漏洞得到修复。

更新-kde v5.61.0补丁程序命令注入漏洞

kde开发人员通过删除kconfig文件中支持shell命令的全部功能来修复此漏洞,kde为灵活配置提供了一种有意的功能。

根据开发人员的说法,KConfig可能会被用户错误的滥用,从而使KDE用户“安装此类文件并执行代码,即使用户没有故意的操作”。

KDE在周三发布的安全公告中表示:“试图找出文件或目录图标的文件管理器可能最终执行代码,或者任何使用kconfig的应用程序都可能在启动阶段执行恶意代码。”

“经过仔细考虑,在kconfig条目中支持shell命令的整个功能都被删除了,因为我们找不到它的实际用例。如果您对该功能已有使用,请与我们联系,以便我们评估是否可以提供安全的解决方案。”

建议用户更新到kde frameworks 5的5.61.0版本,同时建议kdelibs上的用户对kdelibs 4.14应用kdelibs项目咨询中提供的补丁。

打赏 赞(0)
微信
支付宝
微信二维码图片

微信扫描二维码打赏

支付宝二维码图片

支付宝扫描二维码打赏

本站文章未说明转载即为原创,转载请注明来源,LemonSaaS-A » kde-linux桌面会被偷偷运行恶意代码,并请保留声明!
点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注