Уязвимость в KDE, позволяющая выполнить код при вставке внешнего носителя

В опубликованном позавчера выпуске KDE Plasma 5.12 устранена опасная уязвимость (CVE-2018-6791), позволяющая выполнить код при подключении Flash-накопителя со специально оформленной меткой раздела VFAT. Проблема пока остается неисправленной в дистрибутивах (Debian, Ubuntu, openSUSE, Fedora), для ветки KDE 5.8 подготовлен патч.

Уязвимость присутствует в системе вывода уведомления о подключении внешнего носителя информации. Если метка раздела VFAT содержит символы `` или $(), то при монтировании через диалог с уведомлением о подключении устройства данные символы интерпретируются ка команды shell. Например, если установить метку раздела в "$(touch b)", то будет выполнена команда "touch b" для создания файла в домашнем каталоге пользователя. Для обхода уязвимости предлагается монтировать накопители не при выводе уведомления о новом устройстве, а в файловом менеджере Dolphin.

В KDE 5.12 также устранена неопасная уязвимость (CVE-2018-6790), которая может привести к утечке IP-адреса пользователя. Проблема вызвана поддержкой встраивания изображений в уведомления, которые загружаются с внешнего хоста. Например, участник чата может инициировать отображение сообщения с картинкой в уведомлении на рабочем столе и определить IP другого участника чата.