LINUX.ORG.RU

Незакрытая уязвимость в KDE

 , , kdesktopfile,


1

2

Исследователь Dominik Penner опубликовал незакрытую уязвимость в KDE (Dolphin, KDesktop). Если пользователь откроет директорию, где содержится специально сконструированный файл чрезвычайно простой структуры, код из этого файла будет выполнен от имени пользователя. Тип файла определяется автоматически, поэтому основное содержание и размер файла может быть любым. Однако требуется, чтобы пользователь самостоятельно открыл директорию файла. Причиной уязвимости называется недостаточное следование спецификации FreeDesktop разработчиками KDE.

>>> Подробности



Проверено: anonymous_incognito ()
Последнее исправление: mithron (всего исправлений: 7)
Ответ на: комментарий от EXL

если в Dolphin отключить засирание директорий файлами .directory ... то протрояненные файлы .directory всё равно будут читаться

Кеды неичерпаемый источник лулзов.

bread
()
Ответ на: комментарий от bread

Эта уязвимость в третьекедах еще была что ли?

а ещё кто-то смеялся портированию KDE 2.2 на современные системы

buratino ★★★★★
()
Ответ на: комментарий от grem

кто придумал эту дурацкую «этику»?

пусть типа 0деями ломают ни о чём не подозревающих людей пока разработчики там месяцами тупят?

anonymous
()
Ответ на: комментарий от anonymous

педерастия

петушок

уважаемый, я понимаю, что вас в тюрьме изнасиловали, но не обязательно выплёскивать свою боль на техническом сайте.

anonymous
()
Ответ на: комментарий от Polugnom

Приведение ЛОРа, особенно сегодняшнего, в качестве аргумента - полнейший моветон.

А потом почекай темы в период выхода 9ки, 8ки, 7ки, 6ки и даже 5ки и увидь ту же картину с поправкой на то, что интернет стал доступней и концентрация идиотов в нем выросла в разы.

Всё на что у них хватает ума, это ссылаться на ЛОР в качестве источника информации, но даже не удосужиться скинуть ссылку на конкретную темы. Мол сам ищи. Я же говорю в доказательства не умеют балаболы с нетрадиционной ориентацией.

anonymous
()
Ответ на: комментарий от pihter

а почему МСы не приделают возможность ДЕшку от ХР(или типа того) использовать на новых виндах? Ну этим же пользоваться невозможно! Хрен где че найдешь, хрен чего сможешь. 20 лет за компом сижу, а на винду смотрю теперь как баран на новые ворота

1. 7+ Taskbar Tweaker - поможет сделать область уведомления лкассической. ПКМ - закрыть, развернуть, свернуть, а не shift+ПКМ. 2. Explorer++ - привычный на внешний вид файловый менеджер. 3. Classcic shell - привычное каскадное меню пуск. 4. Замену explorer.exe для 10-ки тоже где-то находил. Не благодари.

anonymous
()
Ответ на: комментарий от mazdai

Mate был бы хорош, если бы не устарел - а рано или поздно его забросят.

Не забросят, пока его используют во всех дружественных дистрибутивах.

lxqt тоже неплохое окружение, но малофункциональное и требует долгой настройки, чтобы эмулировать уровень доступности предлагаемый кедами.

Каких именно настроек тебе требуется? Настроек там минимум, поэтому не понимаю. Можешь в гитхаб им реквест написать. Ярлыки ПК, Доки, Корзину в новой версии запилили по просьбе. TDE тоже хорош, разве что на QT3.

anonymous
()
Ответ на: комментарий от anonymous

Не благодари

Спасибо )

Но я не собираюсь этим пользоваться. Еще линуксоводов красноглазыми обзывают )

Для меня весь процесс настройки ДЕ после установки: это я в крысе перетаскиваю панель задач сверху вниз и получается классический виндовый интерфейс, который все знают и умеют. по крайней мере я

pihter ★★★★★
()
Ответ на: комментарий от buratino

а ещё кто-то смеялся портированию KDE 2.2 на современные системы

Я читал на OPN про KDE Restoration Project, но так и не нашел где скачать готовый дистрибутив. Где можно взять пощупать? Оригинал уже не застал, достаточно поздно окунулся в мир СПО. Тем более больше нравится TDE.

anonymous
()
Ответ на: комментарий от anonymous

Ровно как и пруфов о признаках педерастии.

Любое желание иметь «красивый дизайн» отличный от классической серой строгой квадратной схемы оформления это оно самое и есть. Просто смирись.

anonymous
()
Ответ на: комментарий от mazdai

Mate был бы хорош, если бы не устарел

устарел не mate, а устарела мода на предсказуемость, простоту, практичность, эргономику и удобство.
для маргиналов, которым это всё ещё нужно, mate нисколько не «устаревает».

mos ★★☆☆☆
()
Ответ на: комментарий от Polugnom

Достаточно первого. Каждый раз, когда выходит новый релиз дебиана происходит какой-то ппц. Это же мега стабильный дебиан, а не какая-нибудь убанта! Но проблем столько же.

anonymous
()
Ответ на: комментарий от EXL

Ну как бы вариантов легально и без подозрений доставить файлик на диск — тьма.

kirk_johnson ★☆
()
Ответ на: комментарий от h4tr3d

Пеннер может и хороший исследователь/погромист, но мудак, как человек.

Да эти программисты все такие. Уткнутся в свой код и напрочь забывают как с пользователями общаться.

Deleted
()
Ответ на: комментарий от anonymous

Расстояние между элементами в меню, унылые иконки, стремный шрифты. Все это всегда хотелось изменить. До такого звездеца, как у Вотафака в галерее не доходило, но было красиво и пользоваться этим было приятно.

anonymous
()
Ответ на: комментарий от anonymous

но было красиво и пользоваться этим было приятно.

Хотелось бы взглянуть на это ваше «красиво» и «приятно».

Deleted
()
Ответ на: комментарий от anonymous

Это же мега стабильный дебиан, а не какая-нибудь убанта

Не хочу разочаровывать, но стабильность в этом контексте обозначает не безглючность.

anonymous
()
Ответ на: комментарий от technic93

Все писатели заняты растосрачем

Каким растосрачем?

anonymous
()
Ответ на: комментарий от EXL

никакой какер в здравом уме не будет протроянивать архивы или директории с целью нагнуть пользователей Dolphin и поиметь с них профита. KDE’шники мало кому нужны

Пользователей Whonix вполне могут нагнуть и нагибали, имхо.

Помнится, к Линусу пришли из АНБ и попросили встроить бэкдор, он отказался. Тогда видимо они внедрились в проект KDE. Остерегайтесь всего популярного.

anonymous
()
Ответ на: комментарий от Jetty

Вот почему архивы лучше распаковывать в отдельной папке, а не в хомяке.

anonymous
()
Ответ на: комментарий от anonymous

В Debian 10 LXQT используется крысиный WM, кстати.

anonymous
()
Ответ на: комментарий от jtad

Ставить этот изврат? Нет уж. Лучше Цитрамон.

anonymous
()
Ответ на: комментарий от marataziat

Вангую таких уязвимостей полно, учитывая, что в линуксе принято парсить содержимое, а не полагаться на расширение, за что над виндой даже насмехались. Консоль рулит.

anonymous
()
Ответ на: комментарий от jtad

Jawohl! Я, на данный момент, пользователь KDE. С Windows, как домашней системой, распрощался году в 2001, до этого в дуалбуте был где-то с 1997-1998.

h4tr3d ★★★★★
()
Ответ на: комментарий от fornlr

Что лишний раз подтверждает, что ну его нафиг этих блох в свитере :)

h4tr3d ★★★★★
()
Ответ на: комментарий от grem

разработчики спецификации FreeDesktop

А можете показать все эти трюки с $e, $i в спецификации Freedesktop? А то похоже, что это чисто KDE-шные штуки.

Rootlexx ★★★★★
()
Ответ на: комментарий от Jetty

.directory с removable носителей не читаются.

Проверил - ещё как читаются.

Rootlexx ★★★★★
()
Ответ на: комментарий от anonymous

А каким словом тебя назвать?

Как хочешь. Мне, в общем-то, плевать.

Ты считаешь что уязвимости надо скрывать до последнего?

Видишь только чёрное и белое? Уязвимости нужно рапортовать напрямую разработчикам, особенно если нет лекарства или WA. Разработчики или посоветуют, что сделать, что бы минимизировать риск возникновения проблемы или выпустят быстрый патч. Тем более что для уязвимостей почти у всех проектов есть отдельные списки, контакты и т.п.

А вот если разрабы болт ложат с реакцией, вот тогда можно и в паблик. Но начинать сразу со второго шага - это только повод почесать своё ЧСВ, а не попытка принести пользу сообществу в целом.

Кто выиграет от того, что проблема станет широко известной, при этом без возможности её прикрыть, и «всякие скрипт кидисы и мамкины хакири начнут школьную сетку ложить»? Мне кажется, что никто.

Предупрежден значит вооружен.

Я вот смогу скачать исходники и просто вымарать данный функционал, пересобрать и пользоваться. Тем более, что мне он даром не нужен. Но вообще, сколько людей смогут так сделать?

h4tr3d ★★★★★
()
Ответ на: комментарий от mos

Я пользуюсь им на старом компьютере и в итоге вынужден держать gtk2, gtk3, qt4, qt5 библиотеки, темы и настройки в совместимом состоянии - а пользователям TDE еще и qt3 к тому же.. или выбирать софт не по тому, насколько хорошо он подходит к задаче, а по тулкиту. или статически линковать то что не вписалось

mazdai ★★★
()
Ответ на: комментарий от anonymous

Каждый раз, когда выходит новый релиз дебиана происходит какой-то ппц.

Какой? Пять анонимусов создают темы про то что «я что-то нажал и оно сломалось»?

Это же мега стабильный дебиан, а не какая-нибудь убанта! Но проблем столько же.

Ты на калькуляторе посчитал?

Polugnom ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.