Måske husker du Stuxnet? Dræber-ormen/virussen/malwaren, der var ganske avanceret, og som var skruet sammen til at nedlægge en enhed til uran-berigelse i Iran.
Et af komponenterne i Stuxnet udnyttede en zero day-sårbarhed i Windows-systemer, så kode automatisk blev eksekveret, når en USB-nøgle blev sat i en maskine. Uanset om autorun var aktiveret eller ej. Microsoft patchede denne sårbarhed i 2010 og så lidt mere i 2015.
Det erindrer sikkerhedsmanden Graham Cluley i et indlæg hos Hot For Security.
Indlægget handler egentlig om, at en lignende sårbarhed viser sig at have ligget og luret i Linux-desktop-miljøet KDE Plasma. Fuldstændig som Windows-sårbarheden, så har denne sårbarhed gjort det muligt at eksekvere vilkårlig kode, når en USB-nøgle er blevet sat i en maskine.
Det fremgår af en advisory hos kde.org, som Graham Cluley linker til.
Ifølge advisory'en så er versioner af Plasma KDE før 5.12.0 i udgangspunktet berørt af sårbarheden.
Konkret kan sårbarheden udnyttes ved, når en USB-nøgle bliver mounted via 'device notifier'. Hvis nøglen i sin label har enten:
``
eller
$()
... så bliver det, der står mellem henholdsvis `` og () tolket som en shell-kommando. Det vil eksempelvis sige, at hvis en USB-nøgle hedder "$(touch b)", så bliver der oprettet en fil i home-folderen med navnet b på et sårbart system.
Der er frigivet patches, og advisory'en anbefaler i den forbindelse at løse problemet ved at opgradere til Plasma >= 5.12.0 eller Plasma >= 5.8.9.