Zero-day: Kode eksekveres ved åbning af KDE-mapper med særlig fil

Illustration: YouTube screenshot, Dominik Penner
En upatched sårbarhed i desktop-miljøerne KDE 4 og 5 gør det muligt for en angriber at eksekvere kode, når et offer åbner en mappe.

Som følge af en upatched sårbarhed er det ifølge flere medier muligt for en angriber at eksekvere kode i desktop-miljøerne KDE 4 og 5, der bruges i forskellige Linux-distributioner.

Det oplyser BleepingComputer, som har været i kontakt med sårbarhedens opdager, Dominik Penner.

Penner fortæller også selv nærmere om sårbarheden i et skriv her.

»KDE 4/5 is vulnerable to a command injection vulnerability in the KDesktopFile class. When a .desktop or .directory file is instantiated, it unsafely evaluates environment variables and shell expansions using KConfigPrivate::expandString() via the KConfigGroup::readEntry() function. Using a specially crafted .desktop file a remote user could be compromised by simply downloading and viewing the file in their file manager, or by drag and dropping a link of it into their documents or desktop,« forklarer Dominik Penner i indlægget.

.desktop og .directory

Sårbarheden findes ifølge Penner i KDE 4 og 5, og den gør det kort fortalt muligt at indlejre kommandoer i .desktop- og .directory-filer. Kommandoerne bliver så eksekveret, hvis blot en mappe bliver åbnet.

De førnævnte filtyper bliver brugt til at konfigurere, hvordan applikationer og mapper bliver vist i desktop-miljøet.

I en besked til BleepingComputer oplyser Penner, at problemet skyldes KDE’s brug af såkaldt shell expansion.

»They use the same syntax as the freedesktop specification, however because they also allow the shell expansion (freedesktop doesn't allow this ifself), it's exploitable. It's more of a design flaw than anything, the configuration syntax for .desktop and .directory files should be consistent with that of XDG (freedesktop)'s spec,« forklarer Penner til BleepingComputer og fortsætter:

»And yeah, any entry can be injected. Theoretically this could be exploited in a lot of other areas, however it's easiest to get the entry read via icons.«

BleepingComputer oplyser i artiklen, at sårbarheden ikke er patched. For at imødegå sårbarheden er det nødvendigt med et fiks fra KDE, fortæller Penner til BleepingComputer.

Ifølge flere medier, så har Penner ikke gjort KDE-udviklerne opmærksomme på sårbarheden, før den blev offentliggjort.

The Register henviser til KDE Community, der på twitter opfordrer brugere til ikke at downloade .desktop- og .directory-filer. Desuden bliver folk advaret mod at udpakke zip-filer fra untrustede kilder.

»Also, if you discover a similar vulnerability, it is best to send an email security@kde.org before making it public. This will give us time to patch it and keep users safe before the bad guys try to exploit it,« lyder opfordringen fra KDE Community på Twitter i forhold til at rapportere fremtidige sikkerhedshuller.

Test

BleepingComputer har testet sårbarheden. I testen har mediet lavet en zip-fil med en undermappe med en - i princippet ondsindet - .directory-fil. Når mappen tilgås bliver systemets lommeregner-app startet.

Der ligger en lille animation af testen hos BleepingComputer.

Penner har desuden selv lagt en demo på YouTube:

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere