LINUX.ORG.RU

Незакрытая уязвимость в KDE

 , , ,


1

2

Исследователь Dominik Penner опубликовал незакрытую уязвимость в KDE (Dolphin, KDesktop). Если пользователь откроет директорию, где содержится специально сконструированный файл чрезвычайно простой структуры, код из этого файла будет выполнен от имени пользователя. Тип файла определяется автоматически, поэтому основное содержание и размер файла может быть любым. Однако требуется, чтобы пользователь самостоятельно открыл директорию файла. Причиной уязвимости называется недостаточное следование спецификации FreeDesktop разработчиками KDE.

>>> Подробности

Ммм, холиварчики kde vs gnome на этой неделе сместятся не в пользу kde)

EmgrtE ★★★ ()

Блин, жаль, от компа далеко, проверить не могу.

UriZzz ()
Ответ на: комментарий от EXL

Как будто этим дерьмом вообще кто-то пользуется, оно обычно только в ступор вводит.
Иконки всё равно слетят, если они лежат «где-то там» на локальном компе.

1. Говори за себя, гномосексуалист. 2. Нет, ничего не слетит.

anonymous ()
Ответ на: комментарий от dv76

Это только в XP. В 7 поумнели и стали хранить кэш эскизов в профиле. Правда этот кэш регулярно слетал.

anonymous ()

В VLC и Intel тоже уязвимости нашли.

anonymous ()
Ответ на: комментарий от EXL

Как будто этим дерьмом вообще кто-то пользуется, оно обычно только в ступор вводит.

Не пользовались, не было бы.

Иконки всё равно слетят, если они лежат «где-то там» на локальном компе.

если... ".icon.png" никто не отменял, не говоря уже о системных

LinuxDebian ★★★★ ()
Последнее исправление: LinuxDebian (всего исправлений: 1)
Ответ на: комментарий от tiinn

Почему? Неужели ключ реестра «sheel» удалили и теперь нельзя навесить свой рабочий стол?

LinuxDebian ★★★★ ()

Давайте выкинем этот файловый менеджер, это решит проблему, точно-точно.

Подпись: разработчики Гнома

Alve ★★★★★ ()
Ответ на: комментарий от jtad

Кде ставят в основном виндузятники, которые любят чтобы линух был похож на винду

KDE ставят те, кому надо работать, а не страдать. Если Линух не похож на венду - он похож на говно ( Gnome ).

Alve ★★★★★ ()
Ответ на: комментарий от Alve

Просто не представляю каких функций тебе не хватает, например, в Thunar?

Если Линух не похож на венду - он похож на говно

Linux не для эстетствующих хлюпиков виндузятников. А уж брать пример с винды так вообще последнее дело. Как же меня достает ее самодеятельность - когда начинает пытаться показывать теги и колонки, основываясь на содержимом, о чем ее не просили. И ведь не отключается полностью это поведения (а еще есть диалоговые окна открыть/сохранить, от Explorer не убежать).

anonymous ()

Самое забавное, что это - официальный функционал, который называется «shell expansion». И выпилить его теперь совсем не так просто.

В общем, это просто эпичнейшее решето. По своему размаху - дыра смахивает на диверсию, потому что не подумать о возможности злонамеренного использования данного функционала - разработчики KDE просто не могли.

Даже разрабы гнома на таком фоне не выглядят уже настолько аутистами.

DawnCaster ()
Ответ на: комментарий от fornlr

И это отлично. А то я уж боялся что пойдут в отказ, дескать - это не баг а фича.

DawnCaster ()
Ответ на: комментарий от fornlr

Хорошо что они его нигде не додумались использовать, и выпилить этот функционал оказалось всё-таки просто.

DawnCaster ()
Ответ на: комментарий от fornlr

Там комментарии смешные. Один говорит, что с помощью этого отапливает помещение, чтобы дети не мёрзли.

anonymous ()
Ответ на: комментарий от anonymous

У меня есть действительный вариант использования: «Пожалуйста, не исправляйте это. Я использую рекурсивную символическую ссылку и сценарий оболочки, чтобы увеличить нагрузку на мою машину. Избыточное тепло, которое она производит, согревает детей зимой».

anonymous ()

А пропатчичь KDE под FreeBSD не бывает ?

Deleted ()
Ответ на: комментарий от DawnCaster

KDE помнится использовался в Whonix. Не случайно видимо.

anonymous ()
Ответ на: комментарий от anonymous

Всегда удивляло кто в здравом уме будет пихать KDE в виртуалку.

anonymous ()

Ахаха, это решето до сих пор кто-то всерьез использует? Итить луноходы необучаемые.

meliafaro ★★★★★ ()
Ответ на: комментарий от jtad

А что ставить-то?
Гном? Потом пилить его напильниками кучу времени, нафиг надо.
Крыса полудохлая, там и подавно ничего не исправляется.
Придумал, Корицу можно поставить, ладно.

Ros ()
Последнее исправление: Ros (всего исправлений: 1)
Ответ на: комментарий от Alve

KDE ставят те, кому надо работать

Толсто.

Если Васян-дистромейнтейнер не приготовит тебе кеды (по своему разумеется вкусу) - оно будет неюзабельным говном. Впрочем как и Gnome.

Только вот Gnome минимально готов к работе, а все остальное ты можешь настроить из единого центра управления с понятными иконками и названиями инструментов. В отличие от KDE, где тема рабочего стола, тема виджетов или как там называются кнопки тема оформления окон, и тема оформления приложений - четыре разные темы с настройкой в разных местах.

windows10 ()
Ответ на: комментарий от Ros

Крыса полудохлая, там и подавно ничего не исправляется. Придумал, Корицу можно поставить, ладно.

Крыса живее всех живых, а релизится редко именно потому что там все просто работает. Что тебе не хватает в Крысе того, что есть в других DE кроме говносервисов типа nepomuk'ов и прочей ерунды ? Концепция десктопа не менялась со времен Чикаги - панель задач, трей, главное меню с программами, десктоп и окна с заголовком и элементами управления. Всьо.

Но и Cinnamon тоже не плох. Всяко лучше сабжа.

windows10 ()
Ответ на: комментарий от windows10

А «минимально готов к работе» наверно потому, что в гноме толком все равно тему нельзя поменять. Нельзя поменять тему - никто и не будет об этом думать - все сразу пойдут работать - профит. С кедами то так не проканает да

anonymous ()

Если пользователь откроет директорию, где содержится специально сконструированный файл чрезвычайно простой структуры, код из этого файла будет выполнен от имени пользователя

Мне кажется если кто-то или что-то обладает достаточными правами чтобы записать в мою директорию этот «специально сконструированный файл чрезвычайно простой структуры» то во-первых я сам виноват, и во-вторых он или оно по определению может точно также выполнить любой код и незачем все так усложнять. Все это напоминает мне вирусы под линукс, которые нужно сначала скомпилировать а потому запустить под рутом.

mbivanyuk ★★★★★ ()
Последнее исправление: mbivanyuk (всего исправлений: 1)
Ответ на: комментарий от EXL

путём Windows

Неактуально, локальные каталоги не засираются Thumbs.db уже 12.5 лет.

MozillaFirefox ★★★★ ()
Ответ на: комментарий от EXL

все смеялись и не верили.

еще не отучились говорить за всех?

я перестал использовать кде лет 15 назад, когда вместо развития стали рисовать всякую херню.

anonymous ()

Забавно. В вендах была аналогичная уязвимость (CVE-2010-2568).

Пользователь не почувствует разницы :)

CaveRat ★★ ()

Не скачиваю подозрительные файлы. И чужими флешками не пользуюсь, т.к. они как правило дохлые и уже бесполезные. Спасибо.

Deleted ()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от mbivanyuk

А трояны не забыл? Скачал пользователь архив с чем-то нужным с сайта — а внутри скрипт.

Vsevolod-linuxoid ★★★★★ ()
Ответ на: комментарий от Ros

Крыса полудохлая, там и подавно ничего не исправляется.

Ох лол, 11 августа релиз, напоминаю.

Deleted ()

да нуууу, разработчики кде не следуют стандартам?! да как так!

кде умерло сразу же как только были разогнаны «старые пердуны» и их сменили молодые и динамично развивающиеся программисты.

bernd ★★★★★ ()
Ответ на: комментарий от anonymous

Просто не представляю каких функций тебе не хватает, например, в Thunar?

Лично мне не хватает приблизительно... всего. Ну, это если сравнивать с Directory Opus ли Xyplorer, конечно. Но на фоне остальных линуксовых файловых менеджеров Thunar настолько неплох, что я именно его и использую повседневно. Просто это говорит не о том, как хорош Thunar, а о том, что ни один линуксовый файл-менеджер и рядом не стоял с Directory Opus/Xyplorer.

Kzer-Za ()
Ответ на: комментарий от EmgrtE

не уверен, ибо в комментах выше уже накидали больше аналогичных свежих (обнаруженных в 3 предыдущих года) багов из Гнома :)

bonta ★★★ ()

меня больше заботит, что кто-то трахает мой иксовый мышиный буфер обмена. то ли кде, то ли ещё какая тварь.

darkenshvein ★★★★★ ()
Ответ на: комментарий от Alve

KDE ставят те, кому надо работать, а не страдать.

Ох лол, да этим в дефолтном состоянии пользоваться то и невозможно. Что за чушь?

anonymous ()
Ответ на: комментарий от darkenshvein

меня больше заботит, что кто-то трахает мой иксовый мышиный буфер обмена. то ли кде, то ли ещё какая тварь.

Я ничего не хочу сказать, но ты оглянись по сторонам. Телевизор включи там.

anonymous ()
Ответ на: комментарий от Kzer-Za

Но на фоне остальных линуксовых файловых менеджеров Thunar настолько неплох, что я именно его и использую повседневно

На фоне наименее функциональных или что?

Не совсем понял прикол. Тем более после упоминания Directory Opus и Xyplorer.

neocrust ★★★★★ ()
Ответ на: комментарий от Deleted

е скачиваю подозрительные файлы. И чужими флешками не пользуюсь, т.к. они как правило дохлые и уже бесполезные. Спасибо.

Не ставь это в угоду себе. Ты просто никому не нужен, в частности, с точки зрения друга, с которым можно весело провести время, или сходить куда. У меня, например, по субботам по кд кино-просмотры всякого андерграунда, а потом обсуждение.

anonymous ()
Ответ на: комментарий от anonymous

Красивую херню. Договаривай уж. Несмотря на дыры, кде, это единственная ДЕ которой реально не противно пользоваться, у которой есть фичи, и в целом присутствует красота.

anonymous ()

Уязвимость через иконки, ёмаё. Виндузятники это заслужили.

bread ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.