Sicherheitslücke in KDE Frameworks geschlossen
Bild: Dominik Penner

Der kanadische Sicherheitsforscher Dominik zer0pwn Penner entdeckte eine Sicherheitslücke in allen Versionen der KDE Frameworks bis hin zur aktuellen Version 5.60.0, dem Unterbau zum Plasma-Desktop. Das betrifft die Ausgaben 4 und 5 des beliebten Desktops und könnte zum Ausführen von Schadcode missbraucht werden.

Sicherheitslücke in KDE

Die Lücke war äußerst einfach auszunutzen, denn es reichte bereits das Anschauen oder Herunterladen von mit Schadcode präparierten Desktop-Dateien mit den Endungen .desktop- oder .directory im Dateimanager Dolphin, um die Ausführung des Schadcodes zu ermöglichen. Ein Angreifer musste einen Anwender lediglich zum Download einer solchen präparierten Datei bringen. Diese konnte auch unauffällig in einem Zip- oder Tar-Archiv versteckt sein.

Unnötige Shell-Kommandos

Die Art, wie die Klassenreferenz KDesktopFile solche Dateien handhabt, ermöglichte diese Lücke durch die unsichere Auswertung und Übernahme von Umgebungsvariablen und Shell-Erweiterungen. Somit konnten in den Desktop-Dateien platzierte Shell-Kommandos ausgeführt werden. Penner hat die Lücke auf GitHub ausführlich dokumentiert.

Lücke geschlossen

Die KDE-Entwickler haben schnell reagiert, die Lücke untersucht und festgestellt, dass die auslösende Funktion, die ursprünglich mehr Flexibilität bieten sollte, eigentlich nirgends Anwendung findet. Als Reaktion entfernten sie die Funktion, die es erlaubt, Shell-Befehle als Werte in den KConfig-Dateien zu haben. Kritik übten die Entwickler am Vorgehen von Penner. Er hätte zunächst KDE kontaktieren sollen bevor er einen Proof of Concept (PoC) auf Twitter öffentlich ins Netz stellt.

Mittlerweile stehen Patches bereit. Anwender der KDE Frameworks sollten auf kconfig >= 5.61.0 aktualisieren. Wer noch KDE 4 verwendet, sollte das Paket kdelibs 4.14 patchen.

Penner demonstriert seinen PoC

Beitrag kommentieren

Alle Kommentare
  • der_bud

    10.08.2019, 12:59 Uhr

    In Debian gefixt in oldstable, stable und sid ab kconfig 5.54.0-2 seit 09.08.19