KDE risolve un bug… rimuovendo una feature
Quante volte, scherzando, abbiamo sentito dire o detto questa frase? Questi due elementi, i bug e le feature, sono comunque legati indissolubilmente, volente o nolente: se c’è un bug, questo è introdotto da una data feature.
Nel caso in questione il bug era all’interno del KDE Framework e, nel caso specifico, permetteva l’esecuzione di codice malevolo semplicemente guardando un file .desktop.
Assolutamente preoccupante.
This is not a bug, this is a feature!
Il problema è saltato fuori all’inizio di questa settimana, in cui il ricercatore Domink Penner ha pubblicato un PoC (Proof of Concept – ovvero una dimostrazione pratica in questo contesto) che mostrava come creare un file ad-hoc che, se letto da KDE (le versioni impattate sono la 4 e la 5), permette di eseguire codice arbitrario sul computer. La cosa estremamente critica è che KDE ha la tendenza ad interpretare questi file costantemente quindi anche la semplice operazione di apertura in Dolphin (il file manager di KDE) della cartella contenente il file .desktop in questione, portava all’esecuzione del codice.
Cosa ancora più incredibile è che l’intera spiegazione su come eseguire questa operazione, oltre che un breve video che la dimostra in pratica, sta tranquillamente all’interno di un Tweet:
KDE 4/5 KDesktopFile (.desktop) Command Injection.
Fits in a tweet.[Desktop Entry]
Icon[$e]=$(echo${IFS}0>~/Desktop/zero.lol&)https://t.co/Iy3UPrSuhE#redteam #0day #security #bugbounty #bugbountytip #bugbountytips #kde #rce #zerodotlol #zerolol pic.twitter.com/QRtX9Kwd1w— Dominik (@zer0pwn) August 5, 2019
Inoltre, questa vulnerabilità è stata resa pubblica senza avvisare preventivamente gli sviluppatori di KDE, costringendoli a ricorrere ai ripari nel più breve tempo possibile. Motivo per cui l’operazione è stata quella di rimuovere il supporto ai comandi shell come valori nei file KConfig (.desktop e .directory, appunto), feature implementata intenzionalmente per rendere più flessibile il desktop.
A file manager trying to find out the icon for a file or directory could end up executing code, or any application using KConfig could end up executing malicious code during its startup phase for instance […] After careful consideration, the entire feature of supporting shell commands in KConfig entries has been removed, because we couldn’t find an actual use case for it
Un file manger, tendando di trovare l’icona corretta per un file o una directory, si ritrova ad eseguire il codice o, ad esempio, una qualsiasi applicazione che utilizzi KConfig potrebbe eseguire il codice malevolo durante la sua fase di avvio […] Dopo un’attenta valutazione, l’intera funzionalità di supportare i comandi shell nelle voci KConfig è stata rimossa, perchè non ne troviamo un reale uso pratico.
Questo è quanto viene detto nel KDE Security Advisor relativo a questa vulnerabilità, in cui però si esorta chiunque usi quella feature a contattare KDE per determinare una nuova soluzione sicura al problema.
Quindi, in preparazione alla grigliata di Ferragosto, come sempre, aggiornate, aggiornate, aggiornate!
Fonte: https://www.miamammausalinux.org/2019/08/kde-risolve-un-bug-rimuovendo-una-feature/
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
