只需插入 USB 就能黑掉 Linux 设备

阅读量216174

发布时间 : 2018-02-13 15:00:25

x
译文声明

本文是翻译文章,文章原作者 Catalin Cimpanu,文章来源:www.bleepingcomputer.com

原文地址:https://www.bleepingcomputer.com/news/linux/its-2018-and-you-can-still-p0wn-your-linux-box-by-plugging-in-a-usb-stick/

译文仅供参考,具体内容表达以及含义原文为准。

 

运行 KDE Plasma 桌面环境的 Linux 用户需要尽快打补丁,因为当用户在电脑中插入 USB 时就可导致恶意代码执行。

KDE Plasma 团队已发布版本 5.8.9 和 5.12.0 解决该“任意命令执行”漏洞 CVE-2018-6791。

对漏洞的描述中可看出,卷标中存在字符 “ 或 $() 的USB 驱动器将把这些字符中包含的文本当作 shell 命令执行。

也就是说,攻击者能在 USB 驱动的名称中放入恶意代码并让它在受害者经过 KDE 插入 USB 浏览内容时在受害者计算机上自动执行。唯一的条件是,受害者必须运行一个 KDE 桌面环境,而 USB 驱动器必须是 VFAT 格式。例如,插入卷标为 $(touch b) 或 ‘touch b’ 的VFAT USB 驱动,将会在用户的主页目录中创建一个文件名称为 “b” 的文件。

多数安全研究员认为这个漏洞“非常滑稽”,因为这类问题早在20世纪90年代后期和21世纪初期就通过应用正确的输入清洁技术得以修复。

所有早于 5.12.0 版本之前的 KDE Plasma 版本都易受攻击。建议无法更新的用户经由除 KDE Device Notifier app (处理 KDE 环境中的可插入式设备)以外的其它方式安装新的 USB 设备。

本文翻译自www.bleepingcomputer.com 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
奇安信代码卫士
分享到:微信

发表评论

奇安信代码卫士

奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。微信公号:codesafe。

  • 文章
  • 387
  • 粉丝
  • 104

热门推荐

文章目录
内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66