当前位置:安全资讯 >> 全文

只需插入 USB 就能黑掉 Linux 设备

发布时间:2018-2-12 18:58 标签: USB Linux
分享到 0

运行 KDE Plasma 桌面环境的 Linux 用户需要尽快打补丁,因为当用户在电脑中插入 USB 时就可导致恶意代码执行。

KDE Plasma 团队已发布版本 5.8.9 5.12.0 解决该“任意命令执行”漏洞 CVE-2018-6791

对漏洞的描述中可看出,卷标中存在字符 `` $() USB 驱动器将把这些字符中包含的文本当作 shell 命令执行。

也就是说,攻击者能在 USB 驱动的名称中放入恶意代码并让它在受害者经过 KDE 插入 USB 浏览内容时在受害者计算机上自动执行。唯一的条件是,受害者必须运行一个 KDE 桌面环境,而 USB 驱动器必须是 VFAT 格式。例如,插入卷标为 $(touch b) touch b VFAT USB 驱动,将会在用户的主页目录中创建一个文件名称为 b 的文件。

多数安全研究员认为这个漏洞“非常滑稽”,因为这类问题早在20世纪90年代后期和21世纪初期就通过应用正确的输入清洁技术得以修复。

所有早于 5.12.0 版本之前的 KDE Plasma 版本都易受攻击。建议无法更新的用户经由除 KDE Device Notifier app (处理 KDE 环境中的可插入式设备)以外的其它方式安装新的 USB 设备。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/linux/its-2018-and-you-can-still-p0wn-your-linux-box-by-plugging-in-a-usb-stick/
参与讨论,请先 登录 | 注册

用户评论