办公室
在KDE等离子中发现的漏洞
目录:
一位安全研究人员发布了一个故事,该故事对于那些在Linux上使用KDE Plasma的人可能引起极大关注。 由于发现了一个容易利用的漏洞。 这种差距使执行包括.desktop和.directory文件的恶意代码成为可能。 在KDE Frameworks 5.60.0和更早版本中发现,影响桌面环境的版本4和5。
KDE Plasma中发现的漏洞
该漏洞的利用基于KDesktopFile类处理.desktop和.directory文件的方式。 已经发现可以使用恶意代码创建文件,然后在计算机上执行这些文件。
严重的安全漏洞
KDE Plasma 在使用Dolphin访问的每个文件夹中生成一个.directory文件 。 默认情况下是隐藏的,并且是基本的,很容易将其伪装在压缩文件中。 因此,攻击者可以创建带有恶意文件所在文件夹的压缩文件。 当受害者将其解压缩时,它会访问Dolphin,后者会自动读取.directory文件,然后运行恶意代码。
尽管这可以排除远程攻击 ,但它仍然是访问受害者计算机的一种相当简单的方法。 因此,看到如何利用它很容易引起用户的广泛关注。
到目前为止,KDE Plasma尚未做出任何反应 。 尽管希望您很快会采取一些额外的安全措施,以防止基于此故障的攻击。 这是一个严重的漏洞,但可以纠正。 我们希望它会尽快发生。
