Dans un post gist du 27 juillet 2019, Dominik Penner, aussi connu sous le nom de zer0pwn a révélé une faille assez originale visant l’environnement KDE puisqu’elle permet d’injecter une commande arbitraire sans même avoir besoin d’ouvrir le fichier malveillant ! Ainsi, il suffit que le fichier soit affiché, par exemple dans l’explorateur de fichier ou d’archive de KDE pour que la commande soit exécutée. Cette faille touche à la fois KDE 4 et 5 (aussi connu sous le nom de Plasma). Pour rappel, KDE est inclus par défaut dans de plusieurs distributions comme OpenSuse ou Kubuntu et est installable depuis la plupart des autres.Techniquement, cette faille est due à un problème de conception dans la vérification des entrées utilisateurs. Cette faille concerne les fichiers .desktop et .directory, qui permettent notamment d’afficher une icône personnalisée pour un fichier. Toutefois, si une commande shell arbitraire est passée en paramètre à certaines entrées de ce fichier, elle sera exécutée lors du parsing de ce fichier, pouvant conduire à une compromission du système, comme illustré par l’exemple suivant.
| Code bash : | Sélectionner tout |
1 2 3 4 | $cat .directory [Desktop Entry] Type=Directory Icon[$e]=$(echo${IFS}0>~/Desktop/zero.lol&) |
Pour être exécutée, cette faille nécessite tout de même de télécharger un fichier .desktop ou .directory, ce qui est assez inhabituel sous Linux et peut donc éveiller les soupçons d’utilisateurs expérimentés. Il est possible de rendre cette attaque plus discrète en mettant le fichier incriminé dans une archive quelconque. Il semble donc que le principal vecteur d'infection par cette attaque soit le social engineering. Aussi, si vous utilisez KDE, il est conseillé de faire attention à vos téléchargements le temps que cette faille soit corrigée.
Cette faille a été mise en ligne sans avertir préalablement la communauté KDE, ce qui a pu causer des réactions négatives de la part d’une partie de la communauté. Lors d’une interview, Penner a déclaré :
Envoyé par zer0pwn Je voulais juste publier la 0day avant la Defcon. Je prévois de le signaler, mais le problème est davantage un défaut de conception qu'une vulnérabilité réelle, malgré ses capacités.
Source : GitHub
Et vous qu’en pensez-vous ?
Cette faille vous semble-t-elle facilement exploitable dans des systèmes réels ? Est-il acceptable de publier une faille sans informer d’abord les responsables de la sécurité ? 
