东方时讯网
KDE修复了其KDE框架中的一个漏洞,该漏洞只需查看.desktop文件即可通过删除完全被利用的功能来执行恶意代码。
本周早些时候,一位安全研究人员Dominik Penner发布了一个概念验证,该证明显示了如何通过在KDE文件浏览器中查看恶意的.desktop文件(通常用于显示文件或目录的图标)来简化用户的入侵。
在删除漏洞之前,研究人员没有通知KDE。
KDE周三通过删除该功能将KACfig文件中的shell命令作为值进行了响应,这被描述为一种允许灵活性的故意功能。
“一个文件管理器试图找出文件或目录的图标可能最终会执行代码,或者使用KConfig的任何应用程序最终可能会在启动阶段执行恶意代码,”KDE项目安全公告称。
“经过慎重考虑,KConfig条目中支持shell命令的整个功能已被删除,因为我们无法找到它的实际用例。”
KDE表示,任何使用该功能的人都应该联系该项目,以确定是否需要创建“安全解决方案”。
“感谢Dominik Penner找到并记录了这个问题(我们希望他能在公开之前与我们联系)和David Faure的解决方案,”该咨询说。
KDE框架5的用户将更新为5.61.0,而kdelibs上的用户应该在通报中应用补丁。