W KDE 4 i 5 (środowisko graficzne dla systemów operacyjnych Unix i GNU/Linux) istnieje podatność zero-day, która umożliwia atakującemu wykonanie kodu.
Badacz bezpieczeństwa Dominik Penner, ujawnił lukę w strukturze oprogramowania KDE, która może umożliwić spreparowanym plikom .desktop i .directory uruchomienie dowolnego kodu na komputerze użytkownika, nie wymagając od ofiary faktycznego otwarcia tego pliku.
Podatność dotyczy pakietów KDE Frameworks, w wersji 5.60.0 i starszych oraz wymaga pewnej inżynierii społecznej, ponieważ atakujący musiałby nakłonić użytkownika do pobrania archiwum zawierającego złośliwy plik .desktop lub .directory.
KDE Plasma jest jednym z najpopularniejszych, opartych na widgetach open source’owych środowiskach pulpitu dla użytkowników Linuksa i jest domyślnie stosowany w wielu dystrybucjach, takich jak Manjaro, openSUSE, Kubuntu i PCLinuxOS.
Więcej informacji: https://www.bleepingcomputer.com/news/security/zero-day-bug-in-kde-4-5-executes-commands-by-opening-a-folder/