آسیبپذیری اجرای کد مخرب در نرمافزار مدیریت دسکتاپ KDE با حذف امکان پشتیبانی از دستورات خط فرمان Shell در سیستم پیکربندی KConfig برطرف شده است.
در اواسط مردادماه، محققان از یک آسیبپذیری روز صفر اجرای کد مخرب در نرمافزار مدیریت دسکتاپ KDE خبر دادند که میتواند به یک مهاجم از راه دور امکان اجرای دستورات روی دستگاه کاربر را بدهد. این کار از طریق فریب کاربران در استخراج یک بایگانی و باز کردن پوشهی آن انجام میشود.
این آسیبپذیری توسط فایلهای desktop. و directory. ایجادشده است؛ چراکه این فایلها از دستورات خط فرمان Shell پشتیبانی میکنند تا بهطور پویا یک مقدار را به ورودیهای مختلف KConfig مانند فیلد Icon اختصاص دهند. این کار به مهاجمین امکان ایجاد فایلهای مخرب .desktop و.directory را میدهد. در یک آزمون که توسط Bleeping Computer انجامشده است، هنگام باز کردن یک پوشه، مطابق شکل زیر، عمل اجرای کد مخرب صورت میپذیرد:
برای رفع این آسیبپذیری، تیم پروژهی KDE تصمیم گرفته است که امکان پشتیبانی از دستورات خط فرمان Shell در ورودیهای KConfig را حذف کند؛ امّا همچنان از امکان گسترش متغیر محیطی (environment variable expansion) پشتیبانی میکند.
کاربران KDE میتوانند با بهروزرسانی kConfig به نسخه ۵.۶۱.۰ یا بالاتر و یا اعمال وصله، این آسیبپذیری را برطرف کنند. به کاربران KDE 4 نیز توصیه میشود که این وصله را اعمال کنند.
اکیداً توصیه میشود که تمامی کاربران KDE، این بهروزرسانیها را نصب کنند.
مطالب مرتبط:
سیستمعاملهای لینوکس تحت تأثیر آسیبپذیریهای تخریب حافظه هستند!
منبع: BleepingComputer
