Непропатченную уязвимость выполнения кода в KDE слили через Twitter

Непропатченную уязвимость выполнения кода в KDE слили через Twitter

Непропатченную уязвимость выполнения кода в KDE слили через Twitter

Исследователь в области безопасности поделился кодом proof-of-concept (PoC) для эксплуатации уязвимости в KDE Frameworks. На момент написания материала патч для данной бреши ещё не вышел.

Проблему безопасности обнаружил эксперт Доминик Пеннер (Dominik "zer0pwn" Penner), она затрагивает KDE Frameworks 5.60.0 и более ранние версии.

Напомним, что KDE Frameworks представляет собой набор библиотек, которые являются основой для среды рабочего стола KDE.

Уязвимость существует из-за того, как класс KDesktopFile (часть KDE Frameworks) обрабатывает файлы .desktop и .directory. Пеннер обнаружил, что он может создать вредоносные версии этих файлов, что приведёт к запуску злонамеренного кода на компьютере пользователя.

Если пользователь откроет папку с файлами  .desktop и .directory с помощью Dolphin (файловый менеджер KDE), вредоносный код запустится самостоятельно, никакого взаимодействия с пользователем не потребуется.

Подробный разбор проблемы безопасности Пеннер опубликовал на GitHub. Более того, ниже доступно видео, в котором демонстрируется наличие бреши.

Для успешной эксплуатации этой уязвимости потребуется заставить пользователя скачать вредоносные версии вышеозначенных файлов. Для этого атакующий может прибегнуть к социальной инженерии.

Геолокацию россиян предложили передавать полиции в случае опасности

Депутаты фракции «Новые люди» предложили МВД запустить сервис «Безопасный маршрут» — функцию для передачи геопозиции человека в полицию и экстренные службы, если ему угрожает опасность. Идея такая: человек сам включает временную передачу маршрута и геолокации, когда чувствует риск для жизни, здоровья или личной безопасности.

Об инициативе сообщает ТАСС. Функцию предлагают встроить в приложения «Госуслуги» и «МВД России», а также связать с цифровым контуром «Системы-112».

Письмо с предложением направили главе МВД Владимиру Колокольцеву. Работать это может как тревожный режим в смартфоне.

Пользователь заранее или прямо в опасной ситуации включает сервис, указывает конечную точку и примерное время прибытия. Либо выбирает готовый сценарий: «иду домой», «еду в такси», «нахожусь в опасной ситуации», «нужна помощь».

После активации система временно фиксирует маршрут и геолокацию. Если человек нажмёт тревожную кнопку, не подтвердит завершение маршрута или сработает другой заданный сценарий, данные передадут оператору «Системы-112» или в дежурную часть полиции.

Авторы инициативы считают, что сервис поможет быстрее определить местонахождение человека в экстренной ситуации и сократить время реакции полиции. А заодно использовать уже существующую цифровую инфраструктуру госприложений не только для справок и заявлений, но и для реальной помощи в момент, когда пользователю уже не до бюрократии.

По сути, депутаты предлагают превратить смартфон в тревожный маячок: включил маршрут, и в случае ЧП экстренные службы не начинают гадать, где тебя искать, а получают координаты.

RSS: Новости на портале Anti-Malware.ru