Descoberta una vulnerabilitat en kde plasma

Un investigador de seguretat ha publicat una notícia que pot preocupar molt per aquells que utilitzin el KDE Plasma a Linux. Ja que s'ha trobat una vulnerabilitat que és massa fàcil d'explotar. Aquesta bretxa permet l'execució de codi maliciós inclòs fitxers.desktop i.directory. S'ha trobat en KDE Frameworks 5.60.0 i anteriors, impactant a les versions 4 i 5 de l'entorn d'escriptori.

Descoberta una vulnerabilitat en el KDE Plasma

L'explotació de la decisió es basa en la forma en què la classe KDesktopFile maneja els fitxers.desktop i.directory. S'ha descobert que és possible crear fitxers amb codi maliciós, que s'executen després a l'ordinador.

Greu error de seguretat

KDE Plasma genera un fitxer.directory a cada carpeta que s'ha visitat usant Dolphin. A l'estar aquest ocult per defecte, i ser elemental, resulta fàcil camuflar-en un fitxer comprimit. Per tant, l'atacant pot crear el fitxer comprimit amb una carpeta a l'interior, on hi ha el fitxer maliciós. Quan la víctima ho descomprimeix, accedeix amb Dolphin, que llegeix el fitxer.directory de forma automàtica i el codi maliciós entra llavors en execució.

Encara que això descarta un atac remot, segueix sent una manera bastant senzilla de tenir accés a l'ordinador d'una víctima. Pel que és una cosa que ha generat força preocupació entre els usuaris, a l'veure el fàcil que es pot explotar.

KDE Plasma no ha donat cap reacció fins al moment. Tot i que és d'esperar que aviat hi hagi alguna mesura de seguretat addicional per la seva banda, per evitar que hi hagi atacs basats en aquesta sentència. És una vulnerabilitat greu, però que es pot corregir. Esperem que passi aviat.

Font The Hacker News