KDE: Design-Fehler

Eine Sicherheitslücke in dem KDE-Framework hat zur Folge, dass ein entfernter Angreifer Befehle mit den Rechten des Anwenders ausführen kann.

Genau genommen handelt es sich bei dem Problem um einen Software-Design-Fehler, den Angreifer ausnutzen können. Die Attacke ist denkbar einfach. Ein Angreifer muss seinem Opfer lediglich eine geschickt konstruierte .desktop-Datei unterschieben. Öffnet der Angreifer das Verzeichnis in dem sich diese Datei befindet dann mit dem KDE Dolpin-Datei-Browser, so werden die vom Angreifer gewünschten Befehle ausgeführt.

Die Attacke ist möglich, da Befehle in die .desktop-Datei folgendermaßen eingebaut werden können:

Key[$e]=$(shell command)

Solche Befehle werden dann direkt beim Öffnen des entsprechenden Verzeichnisses ausgeführt. Dabei findet keinerlei Benutzerinterkation statt.

Betroffen sind alle KDE-Framework-Versionen vor 5.61.0. Die KDE-Entwickler haben nun entschieden dieses Feature komplett zu deaktivieren, wodurch entsprechende Angriffe nicht mehr möglich sind.

E-Mail Benachrichtigung
Benachrichtige mich zu:
1 Kommentar
Älteste
Neuste Beste Bewertung
Linuxhase
6 Jahre her

> Die KDE-Entwickler haben nun entschieden dieses Feature komplett zu > deaktivieren, wodurch entsprechende Angriffe nicht mehr möglich sind.

So wird also aus einem Feature ein Bug ;-)

Nach oben