LINUX.ORG.RU

Незакрытая уязвимость в KDE

 , , ,


1

2

Исследователь Dominik Penner опубликовал незакрытую уязвимость в KDE (Dolphin, KDesktop). Если пользователь откроет директорию, где содержится специально сконструированный файл чрезвычайно простой структуры, код из этого файла будет выполнен от имени пользователя. Тип файла определяется автоматически, поэтому основное содержание и размер файла может быть любым. Однако требуется, чтобы пользователь самостоятельно открыл директорию файла. Причиной уязвимости называется недостаточное следование спецификации FreeDesktop разработчиками KDE.

>>> Подробности

Когда я говорил, что Dolphin, вечно засирающий каталоги файлом .directory, когда-нибудь этим поплатится, все смеялись и не верили.

Вообще эту дрянь с .directory-файлами нужно переписать и сделать по уму, как в Nautilus, где имеется нормальная база данных для параметров директорий. Странно, что KDE-шники до сих пор это не сделали и идут путём Windows (засрём всё Thumbs.db) или macOS (ну здравствуй, .DS_Store).

EXL ★★★★★ ()
Ответ на: комментарий от EXL

Вообще, надо пользоваться нормальными ФМ, вроде mc или PCManFM, которые не плодят всякую хрень, которая потом мешает юзеру, заставляя его лихорадочно вспоминать, какие настройки у той или иной директории.

peregrine ★★★★★ ()
Ответ на: комментарий от alexferman

Первая уязвимость, конечно, сурьезная. А вот вторая - хрень де-факто. Но самое забавное, что исходя из второй новости можно найти третью уязвимость! https://www.opennet.ru/opennews/art.shtml?num=46854

Pешето, блджад.

eyjafjallajokull ()
Ответ на: комментарий от denton

Еще одна винда не нужна. Уже есть единственная-неповторимая - наслаждайся.

Единственная-неповторимая осталась в 2000 году. Всё остальное приходится допиливать напильником, чтобы хоть немного походило на Win2K. Дисяточку, кстати, уже невозможно так допилить, увы.

tiinn ★★ ()
Ответ на: комментарий от jtad

Кде ставят в основном виндузятники, которые любят чтобы линух был похож на винду

До определённого момента Гном был был предпочтительнее экспиподобного КДЕ. Потом всё превратилось в Яблоко. Причём обгрызанное со всех сторон. Не надо валить на потребляющих Винду свои косяки :)

anonymous ()
Ответ на: комментарий от LinuxDebian

при подключении к другому пк настройки для каталога не будут видны.

  1. Как будто этим дерьмом вообще кто-то пользуется, оно обычно только в ступор вводит.
  2. Иконки всё равно слетят, если они лежат «где-то там» на локальном компе.
EXL ★★★★★ ()
Ответ на: комментарий от anonymous

То можно покоцать хомяк

Более того, если у жертвы какое-нибудь старое ядро, для которого есть готовый эксплоит, можно легко запустить его и получить root.

EXL ★★★★★ ()