聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
运行 KDE Plasma 桌面环境的 Linux 用户需要尽快打补丁,因为当用户在电脑中插入 USB 时就可导致恶意代码执行。
KDE Plasma 团队已发布版本 5.8.9 和 5.12.0 解决该“任意命令执行”漏洞 CVE-2018-6791。
从对漏洞的描述中可看出,卷标中存在字符 `` 或 $() 的USB 驱动器将把这些字符中包含的文本当作 shell 命令执行。
也就是说,攻击者能在 USB 驱动的名称中放入恶意代码并让它在受害者经过 KDE 插入 USB 浏览内容时在受害者计算机上自动执行。唯一的条件是,受害者必须运行一个 KDE 桌面环境,而 USB 驱动器必须是 VFAT 格式。例如,插入卷标为 $(touch b) 或 ‘touch b’ 的VFAT USB 驱动,将会在用户的主页目录中创建一个文件名称为 “b” 的文件。
多数安全研究员认为这个漏洞“非常滑稽”,因为这类问题早在20世纪90年代后期和21世纪初期就通过应用正确的输入清洁技术得以修复。
所有早于 5.12.0 版本之前的 KDE Plasma 版本都易受攻击。建议无法更新的用户经由除 KDE Device Notifier app (处理 KDE 环境中的可插入式设备)以外的其它方式安装新的 USB 设备。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/linux/its-2018-and-you-can-still-p0wn-your-linux-box-by-plugging-in-a-usb-stick/