Los usuarios de Linux que ejecutan el entorno de escritorio KDE Plasma, se encuentran ahora frente a un escenario similar si insertan en sus computadoras una memoria USB etiquetada con los caracteres “ o $ (), ya que cualquier texto contenido dentro de estos será ejecutado como comando shell. Bromeando, Cluley escribe: “dicho de otra forma, da el nombre `rm -rf`, a una memoria USB y entregársela a un amigo que esté utilizando KDE Plasma en su máquina Linux; verás como no será amigo tuyo por mucho tiempo”.
Comentarios
Pues yo lo he probado y no parece que func
#7 Para que se active tienes que montar el dispositivo, no solo insertarlo. Si lo pruebas (puedes hacerlo con un simple "touch a" que no va a causar ningún daño) y aún así no pasa nada es posible que tu distri bución ya haya incorporado la corrección.
El parche se publicó el 5 de febrero; por lo que supongo que casi todas las distribuciones lo habrán incorporado ya.
Umm, tal y como está escrita es errónea. En la noticia se afirma que pueden ser infectados únicamente insertando una unidad sin necesidad de interacción del usuario. Sin embargo es necesario que el usuario abra la unidad después de insertar el disco USB.
Anuncio oficial: https://www.kde.org/info/security/advisory-20180208-2.txt
"When a vfat thumbdrive which contains `` or $() in its volume label is plugged
and mounted trough the device notifier, it's interpreted as a shell command"
#13 Está arreglado y actualizado, hombre.
Sensacionalista y antigua.
Linux? Escritorio? A portada! Este es el año!!!
Es esto cierto????
Para probarlo no hace falta poner nada, con poner un $(echo "hola">hola.txt) y comprobar que hola.txt existe basta!
P.D No voy a instalar KDE para probarlo.... así que si alguien lo usa...
GNOME WINS
Joder, esto es aún peor que el autorun de Windows 95
Fuente original: https://hotforsecurity.bitdefender.com/blog/uh-oh-how-just-inserting-a-usb-drive-can-pwn-a-linux-box-19586.html
#9 Pone que desde Plasma 5.12.0 ya está solucionado
#12 Si, que salió el 6 de Febrero, vamos que si no has actualizado, te pilla el toro
Eso es lo que le pasó al PP. Metieron un pincho con el nombre `sudo rm -rf /*`
Pero en Linux no hay viruses de esos
#11 No es un problema de Linux, de hecho no hay nada que parchear en Linux para solucionar este problema. El problema es de KDE, que es multiplataforma, y pone en riesgo cualquiera en la que lo ejecutes.
pd: sigue intentandolo
meneado desde KDE...
Es una feature
En nombre de la comodidad se eliminó la sana práctica del montaje y desmontaje a mano. Aunque bien pensado, quizá en este caso hubiera servido de poco.
#5 El modo por defecto sigue siendo ése. Cuando insertas una memoria externa el entorno de escritorio la detecta, peronel montaje ha de ser a mano (a base de ratón, eso sí)
Que pedazo de troll el Cluley este
#4 El trolazo es el que haya metido esa "feature", a todas vistas innecesaria. Que además, siendo código abierto se sabrá enseguida quién fue.
#14 No darse cuenta de que diversos inputs pueden contener comandos embebidos y no "escaparlos" es un error bastante común. Ese fue el error del desarrollador original y puedes ver la corrección aquí:
https://cgit.kde.org/plasma-workspace.git/commit/?id=f32002ce50edc3891f1fa41173132c820b917d57
Es algo parecido a un error por SQL injection o a XSS.