安全性研究人员已经发布了针对KDE软件框架中的漏洞的概念验证(POC)代码。在写入时无法使用修复。该缺陷由Dominek"ZER0PWN"Penner发现,并影响KDE框架包5.60.0和以下。
KDE框架软件库位于KDE桌面环境V4和V5(等离子)的基础上,目前包括多个Linux发行版,例如kubbubes、OpenSuSE、OpenMandriva、Chakra、Kaos等。由于kdesktopFile类(KDE框架的一部分)句柄的方式,该漏洞会发生。桌面或。目录文件。
Penner发现他可能会产生恶意。桌面和。可用于在用户计算机上运行恶意代码的目录文件。
当用户打开KDE文件查看器访问存储这些文件的目录时,包含在中的恶意代码。桌面或。目录文件在没有用户交互的情况下执行--例如运行文件。
Ubuntu安全团队的"通过包含恶意的Dolphin(KDEGUI文件管理器)浏览文件夹。桌面文件足以获得代码执行,"AlexMurray告诉ZDNET,在我们要求他验证昨天的漏洞之后。
研究人员称,在gibthub发布的Bug的技术写入中,该漏洞可用于将shell命令放置在找到的标准"图标"条目内。桌面和。目录文件
研究人员说,KDE“将在查看文件时执行我们的命令。”下面有一个攻击的演示,由Penner录制。
该开发场景涉及一些社会工程来欺骗用户下载这些恶意文件,但是这种技术的优点在于用户不必交互或打开这些文件。
一些安全专家已经淡化了这个错误的重要性,因为它需要欺骗用户下载。桌面和。目录文件----这两个文件都是非常少见的下载,并将用最有技术的Linux用户来傲慢地使用怀疑。
但是,Murray告诉我们,恶意文件也可以隐藏在zip或tar存档中。用户可能认为他正在下载合法文件的档案,但不知道它也可能隐藏恶意文件。桌面或。目录文件。
一旦用户取消存档并查看其内容,恶意代码就会执行,而没有目标的知识或目标必须采取任何其他操作。
此外,利用工具包也可用于在用户系统上下载文件而无需交互。
在昨天与ZDNet的一次采访中,Penner解释了在没有事先联系KDE团队的情况下发布有关这个错误的细节的动机。
"我主要想在Defcon[安全会议]前丢掉一个0天,".彭纳告诉我们."我计划报告它,但这个问题比实际的漏洞更多的设计缺陷,尽管它能做什么。"
"老实说,我正在讨论进入代码并考虑KDE是开源的改变自己,"彭纳说。
ZDNET昨天通知了KDE团队的两名成员关于此漏洞。KDE发言人提供了以下答复:
"我们会意识到,如果人们先接触security@kde.org,然后再向公众开放,而不是其他方式,这样我们就可以一起决定时间线,"说。
在过去几年中,有一个整体的安全缺陷影响到由库引起的Linux桌面环境,这些库处理与在OS桌面GUI中显示文件或缩略图相关联的操作。
在解析文件元数据或渲染图像缩略图时经常发现错误。大多数情况下,这些错误都是在没有任何用户交互的情况下发生的,只是通过访问恶意文件所在的文件夹而触发的,这与Penner发现的bug类似。
例如,在2016年11月,安全研究员ChrisEvans发现Fedora的Tracker和GStreamer框架是Fedora桌面环境的一部分,允许用户访问包含恶意视频文件的文件夹时执行代码执行。
一个月后,Evans发现了另一个类似的错误,它影响了Fedora和Ubuntu,这次是通过音频文件开发的。
2017年,德国IT专家尼尔斯·达格松·莫斯科奥普(Nils Dagsson Moskopp)发现了“坏味道”漏洞,该漏洞利用GNOME文件查看器在linux桌面上触发代码执行,当用户查看WindowsMSI文件时,该漏洞会触发代码执行。
Penner的漏洞不是唯一的,当然不是Linux系统独有的。对文件内容和文件元数据进行消毒以消除恶意的仍然困扰Windows的可能隐藏点的问题也很可能困扰操作系统。
8月6日下午1:15更新,由KDE发言人发表评论。
8月8日更新以补充KDE团队已经发布了修复程序。