Seguridad

Descubierta una vulnerabilidad en KDE Plasma

Un investigador de seguridad ha publicado una noticia que puede preocupar mucho a aquellos que usen KDE Plasma en Linux. Ya que se ha encontrado una vulnerabilidad que es demasiado fácil de explotar. Esta brecha permite la ejecución de código malicioso incluido ficheros .desktop y .directory. Se ha encontrado en KDE Frameworks 5.60.0 y anteriores, impactando a las versiones 4 y 5 del entorno de escritorio.

Descubierta una vulnerabilidad en KDE Plasma

La explotación del fallo se basa en la forma en que la clase KDesktopFile maneja los ficheros .desktop y .directory. Se ha descubierto que es posible crear ficheros con código malicioso, que se ejecutan luego en el ordenador.

Grave fallo de seguridad

KDE Plasma genera un fichero .directory en cada carpeta que se ha visitado usando Dolphin. Al estar este oculto por defecto, y ser elemental, resulta fácil camuflarlo en un fichero comprimido. Por tanto, el atacante puede crear el fichero comprimido con una carpeta en el interior, donde está el fichero malicioso. Cuando la víctima lo descomprime, accede con Dolphin, que lee el fichero .directory de forma automática y el código malicioso entra entonces en ejecución.

Aunque esto descarta un ataque remoto, sigue siendo una manera bastante sencilla de tener acceso al ordenador de una víctima. Por lo que es algo que ha generado bastante preocupación entre los usuarios, al ver lo fácil que se puede explotar.

TE RECOMENDAMOS
Descubren grave fallo de seguridad en las unidades My Cloud NAS de WD

KDE Plasma no ha dado ninguna reacción hasta el momento. Aunque es de esperar que pronto haya alguna medida de seguridad adicional por su parte, para evitar que haya ataques basados en este fallo. Es una vulnerabilidad grave, pero que se puede corregir. Esperamos que ocurra pronto.

Fuente
The Hacker News

Eder Ferreño

Bilbaíno graduado en Marketing. Amante de los viajes, el cine y la lectura.
Los datos de carácter personal que nos facilite mediante este formulario quedarán registrados en un fichero de Miguel Ángel Navas Carrera, con la finalidad de gestionar los comentarios que realizas en este blog. La legitimación se realiza a través del consentimiento del interesado. Si no se acepta no podrás comentar en este blog. Puedes consultar Política de privacidad. Puede ejercitar los derechos de acceso, rectificación, cancelación y oposición en info@profesionalreview.com
Botón volver arriba