آسیب پذیری

آسیب‌پذیری KDE با حذف امکان پشتیبانی از دستورات shell برطرف شد

آسیب‌پذیری اجرای کد مخرب در نرم‌افزار مدیریت دسکتاپ KDE با حذف امکان پشتیبانی از دستورات خط فرمان Shell در سیستم پیکربندی KConfig برطرف شده است.

در اواسط مردادماه، محققان از یک آسیب‌پذیری روز صفر اجرای کد مخرب در نرم‌افزار مدیریت دسکتاپ KDE خبر دادند که می‌تواند به یک مهاجم از راه دور امکان اجرای دستورات روی دستگاه کاربر را بدهد. این کار از طریق فریب کاربران در استخراج یک بایگانی و باز کردن پوشه‌ی آن انجام می‌شود.

این آسیب‌پذیری توسط فایل‌های desktop. و directory. ایجادشده است؛ چراکه این فایل‌ها از دستورات خط فرمان Shell پشتیبانی می‌کنند تا به‌طور پویا یک مقدار را به ورودی‌های مختلف KConfig مانند فیلد Icon اختصاص دهند. این کار به مهاجمین امکان ایجاد فایل‌های مخرب .desktop و.directory را می‌دهد. در یک آزمون که توسط Bleeping Computer انجام‌شده است، هنگام باز کردن یک پوشه، مطابق شکل زیر، عمل اجرای کد مخرب صورت می‌پذیرد:

KDE
تشریح آسیب‌پذیری

برای رفع این آسیب‌پذیری، تیم پروژه‌ی KDE تصمیم گرفته است که امکان پشتیبانی از دستورات خط فرمان Shell در ورودی‌های KConfig را حذف کند؛ امّا همچنان از امکان گسترش متغیر محیطی (environment variable expansion) پشتیبانی می‌کند.

کاربران KDE می‌توانند با به‌روزرسانی kConfig به نسخه ۵.۶۱.۰ یا بالاتر و یا اعمال وصله، این آسیب‌پذیری را برطرف کنند. به کاربران KDE 4 نیز توصیه می‌شود که این وصله را اعمال کنند.

اکیداً توصیه می‌شود که تمامی کاربران KDE، این به‌روزرسانی‌ها را نصب کنند.

مطالب مرتبط:
سیستم‌عامل‌های لینوکس تحت تأثیر آسیب‌پذیری‌های تخریب حافظه هستند!

منبع: BleepingComputer

آسیب‌پذیری KDE با حذف امکان پشتیبانی از دستورات shell برطرف شد

آگاهی رسانی، پشتیبانی و امداد رایانه‌ای در حوزه امنیت فضای تبادل اطلاعات

cert.znu.ac.ir
certoffice@znu.ac.ir
TelFax: 024-33054210

خدمات مرکز آپا:


  • آزمون نفوذ و کشف آسیب پذیری
  • رسیدگی به حوادث شبکه‌های رایانه‌ای
  • ارائه مشاوره در زمینه امنیت
  • ارزیابی امنیت و صدور گواهی‌نامه
  • امن‌سازی اتوماسیون صنعتی
  • انجام طرح‌های پژوهشی در زمینه امنیت
  • برگزاری دوره‌های تخصصی آموزشی ویژه مدیران و کارشناسان سازمان‌ها
To Top