[opensuse-es] Vulnerabilidad KDE
El investigador de seguridad Dominik Penner, quien descubrió la vulnerabilidad, contactó a The Hacker News, informando que hay una vulnerabilidad de inyección de comandos en KDE 4/5 Plasma desktop debido a la forma en que KDE maneja los archivos .desktop y .directory. "Cuando un archivo .desktop o .directory es instanciado, evalúa de manera insegura las variables de entorno y las expansiones de shell usando KConfigPrivate::expandString() a través de la función KConfigGroup::readEntry()", dijo Penner. Explotar este fallo, que afecta al paquete KDE Frameworks 5.60.0 e inferiores, es sencillo e implica cierta ingeniería social, ya que un atacante tendría que engañar al usuario de KDE para que descargue un archivo que contenga un archivo malicioso .desktop o .directory. https://thehackernews.com/2019/08/kde-desktop-linux-vulnerability.html -- USA LINUX OPENSUSE QUE ES SOFTWARE LIBRE, NO NECESITAS PIRATEAR NADA Y NI TE VAS A PREOCUPAR MAS POR LOS VIRUS Y SPYWARES: http://www.opensuse.org/es/ Puedes visitar mi blog en: http://jerbes.blogspot.com.ar/ -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El jue., 8 ago. 2019 a las 12:25, Juan Erbes (<jerbes@gmail.com>) escribió:
El investigador de seguridad Dominik Penner, quien descubrió la vulnerabilidad, contactó a The Hacker News, informando que hay una vulnerabilidad de inyección de comandos en KDE 4/5 Plasma desktop debido a la forma en que KDE maneja los archivos .desktop y .directory.
"Cuando un archivo .desktop o .directory es instanciado, evalúa de manera insegura las variables de entorno y las expansiones de shell usando KConfigPrivate::expandString() a través de la función KConfigGroup::readEntry()", dijo Penner.
Explotar este fallo, que afecta al paquete KDE Frameworks 5.60.0 e inferiores, es sencillo e implica cierta ingeniería social, ya que un atacante tendría que engañar al usuario de KDE para que descargue un archivo que contenga un archivo malicioso .desktop o .directory.
https://thehackernews.com/2019/08/kde-desktop-linux-vulnerability.html
Creo que no tiene ninguna finalidad descargar un archivo .desktop o .directory, que puede resultar malicioso. Salvo que venga en un archivo comprimido... -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (2)
-
Juan Erbes -
Pinguino Patagonico