Eine Sicherheitslücke in dem KDE-Framework hat zur Folge, dass ein entfernter Angreifer Befehle mit den Rechten des Anwenders ausführen kann.
Genau genommen handelt es sich bei dem Problem um einen Software-Design-Fehler, den Angreifer ausnutzen können. Die Attacke ist denkbar einfach. Ein Angreifer muss seinem Opfer lediglich eine geschickt konstruierte .desktop-Datei unterschieben. Öffnet der Angreifer das Verzeichnis in dem sich diese Datei befindet dann mit dem KDE Dolpin-Datei-Browser, so werden die vom Angreifer gewünschten Befehle ausgeführt.
Die Attacke ist möglich, da Befehle in die .desktop-Datei folgendermaßen eingebaut werden können:
Key[$e]=$(shell command)
Solche Befehle werden dann direkt beim Öffnen des entsprechenden Verzeichnisses ausgeführt. Dabei findet keinerlei Benutzerinterkation statt.
Betroffen sind alle KDE-Framework-Versionen vor 5.61.0. Die KDE-Entwickler haben nun entschieden dieses Feature komplett zu deaktivieren, wodurch entsprechende Angriffe nicht mehr möglich sind.

> Die KDE-Entwickler haben nun entschieden dieses Feature komplett zu > deaktivieren, wodurch entsprechende Angriffe nicht mehr möglich sind.
So wird also aus einem Feature ein Bug ;-)