Курьезный баг найден в популярной Linux-оболочке

13 февраля 2018 г., вторник

Фреймворк KDE Plasma способен выполнять произвольный код, просто обнаружив новый USB-накопитель.

Разработчики графической оболочки KDE Plasma Desktop исправили уязвимость, которая позволяла выполнять произвольный код на компьютерах под управлением Linux.

При установке USB-накопителя, метка тома которого содержит символы « или $(), фреймворк воспринимает заключенный между ними текст как команду. Например, обнаружив том с именем `touch malware`, система создает файл malware в домашнем каталоге пользователя.

Теоретически злоумышленник может выполнить вредоносный код на компьютере с Plasma Desktop, если вставит в него USB-носитель, имя которого содержит необходимые команды. Однако практическое использование уязвимости затруднено — ошибка затрагивает лишь тома с файловой системой VFAT, длина метки в которой ограничена 11 символами.

Специалисты отнесли проблему к разряду курьезных. Большинство приложений избавились от подобных уязвимостей в конце 90-х, когда были разработаны методы проверки и очистки входных данных.

Ошибка затрагивает все версии Plasma Desktop ниже 5.12.0. Пользователям предлагается обновить свой фреймворк или же установить специальный патч. Если апдейт оболочки невозможен, необходимо остановить приложение KDE Device Notifier, ответственное за обнаружение новых устройств, и определять USB-накопитель вручную, при помощи команды mount.

KDE Plasma Desktop разрабатывается по принципу open source. Доступность исходников делает программы с открытым кодом удобной мишенью для киберпреступников. В сентябре прошлого года создатели системы электронной торговли Magento закрыли три десятка дыр в своей разработке. Ранее с критическими уязвимостями столкнулся бесплатный архиватор 7-Zip. Многие коммерческие продукты также используют open-source-компоненты, что, по мнению специалистов, увеличивает риск атаки.

Threatpost