研究人員發(fā)現(xiàn)的可用于執(zhí)行惡意代碼的功能沒有實際用例

2022-06-23 20:56:41 編輯：竇霞峰來源：

導(dǎo)讀 KDE修復(fù)了其KDE框架中的一個漏洞，該漏洞只需查看 desktop文件即可通過刪除完全被利用的功能來執(zhí)行惡意代碼。本周早些時候，一位安全研究人

KDE修復(fù)了其KDE框架中的一個漏洞，該漏洞只需查看.desktop文件即可通過刪除完全被利用的功能來執(zhí)行惡意代碼。

本周早些時候，一位安全研究人員Dominik Penner發(fā)布了一個概念驗證，該證明顯示了如何通過在KDE文件瀏覽器中查看惡意的.desktop文件(通常用于顯示文件或目錄的圖標(biāo))來簡化用戶的入侵。

在刪除漏洞之前，研究人員沒有通知KDE。

KDE周三通過刪除該功能將KACfig文件中的shell命令作為值進行了響應(yīng)，這被描述為一種允許靈活性的故意功能。

“一個文件管理器試圖找出文件或目錄的圖標(biāo)可能最終會執(zhí)行代碼，或者使用KConfig的任何應(yīng)用程序最終可能會在啟動階段執(zhí)行惡意代碼，”KDE項目安全公告稱。

“經(jīng)過慎重考慮，KConfig條目中支持shell命令的整個功能已被刪除，因為我們無法找到它的實際用例。”

KDE表示，任何使用該功能的人都應(yīng)該聯(lián)系該項目，以確定是否需要創(chuàng)建“安全解決方案”。

“感謝Dominik Penner找到并記錄了這個問題(我們希望他能在公開之前與我們聯(lián)系)和David Faure的解決方案，”該咨詢說。

KDE框架5的用戶將更新為5.61.0，而kdelibs上的用戶應(yīng)該在通報中應(yīng)用補丁。

標(biāo)簽：

免責(zé)聲明：本文由用戶上傳，如有侵權(quán)請聯(lián)系刪除！

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。