安全研究员 dominik "zer0pwn" penner 在 kde frameworks 5.60.0 中发现了一个自动执行漏洞,类似 windows 的 autorun.inf。 kde frameworks 软件库是 kde 桌面环境的基础。漏洞与 kdesktopfile 类 处理 .desktop 或 directory 文件的方式有关。当用户使用 kde 文件浏览器打开一个储存有恶意.desktop或 .directory 文件的目录,文件包含的恶意代码能自动执行无需用户操作。kde 项目已经释出了 kde frameworks 5.61.0 修复了该漏洞,同时对安全研究员不按照正确方式报告漏洞直接公开的做法表达了不满。
试用申请