ОС Linux можно взломать с помощью простого USB-накопителя

image

Теги: Linux, USB, уязвимость

Уязвимость позволяет локальному злоумышленнику выполнить произвольный код на компьютере жертвы.

В фреймворке рабочего стола KDE Plasma для ОС Linux обнаружена опасная уязвимость, позволяющая локальному злоумышленнику выполнить произвольный код на компьютере жертвы с помощью простого USB-накопителя.

Команда разработчиков KDE Plasma исправила данную уязвимость (CVE-2018-6791) с выпуском версий 5.8.9 и 5.12.0. Согласно описанию проблемы, USB-накопители, содержащие символы `` или $() в метке тома, выполняют текст в символах, как shell-команды.

Таким образом атакующий может поместить вредоносный код в имя USB-накопителя и автоматически запускать его на компьютере жертвы, когда пользователь подключает «флешку» через KDE для просмотра ее содержимого. При этом, USB-накопитель должен быть отформатирован в формате VFAT.

Например, подключив USB-накопитель с меткой тома $ (touch b) или `touch b` можно создать файл с именем b в домашнем каталоге пользователя.

Все версии KDE Plasma до v5.12.0 считаются уязвимыми. Разработчики рекомендуют пользователям, не имеющим возможности обновиться, монтировать новые USB-устройства с помощью альтернативных методов, избегая приложения KDE Device Notifier (обрабатывает подключаемые устройства для среды KDE).

KDE Plasma является фреймворком рабочего стола в KDE 4, предоставляющем разработчикам единый API для написания виджетов и небольших приложений, называемых плазмоидами.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus