Вчера стана известно, че всички версии на Plasma 5, по-ниски от 5.12, страдат от уязвимостта CVE-2018-6791. Уязвимостта дава възможност за изпълнение на произволен код, посредством нотификатора за флаш памети и други USB памет устройства.
Когато се включи флаш памет с файлова система vfat посредством нотификатора , която съдържа в името си „„“ или „$()“, това се интерпретира като shell команда, оставяйки възможност за изпълнение на произволни команди. Разработчиците дават за пример име на флаш паметта „$(touch b)“, което ще създаде папка с име b в home директорията. Разбира се, могат да бъдат и далеч по-опасни команди.
Едно от решенията е устройствата памет да се маунтват през файловия мениджър Dolphin, вместо през нотификатора за устройства. Проблемът е поправен при Plasma 5.12 от Marco Martin, но ако нямате възможност да ъпгрейднете, вече са изкарани и кръпки за Plasma 5.8 и Plasma 5.9/5.10/5.11.
Въпреки че за изпълнението на зловредни действия на атакуващия е нужен физически достъп до машината, е добре да предприемете мерки за затваряне на уязвимостта особено ако компютърът ви се използва от повече от един човек или до него имат достъп и други лица.
Повече информация можете да намерите тук.
