피해자가 악의적인 “.desktop”과 “.directory” 파일을 열지 않아도 임의의 코드가 자동 실행되는 제로데이 취약점이 발견돼 KDE desktop 환경을 실행하는 Linux 사용자는 “.desktop”, “.directory” 파일을 다운로드 하지 않도록 주의가 필요하다.

KDE plasma는 Linux 환경에서 가장 널리 사용되는 오픈 소스 위젯 기반 데스크탑 환경으로 manjaro, openSUSE, Kubuntu 및 PCLinuxOS와 같은 Linux에서 기본 데스크탑 환경으로 제공되고 있다.

해당 취약점을 발견한 Dominik Penner는 KDesktopFile 클래스에서 .desktop/.directory 파일의 Instance를 생성할 때 사용되는 함수인 KConfigPrivate::expandString()가 호출될 때 KConfigGroup::readEntry() 함수를 통해 Instance를 처리하는데 이때 안전하지 않은 방식으로 환경변수 와 쉘 확장을 이용하여 처리되는 점을 악용하여 Code Injection을 발생시킨다고 하며 취약점을 이용한 공격 시나리오 두 개의 영상을 업로드하였다.

KDE Frameworks 패키지 5.60.0이하에서 영향을 미치며 현재 개발자는 KDE 5.61.0 패치를 통해 KConfig 파일에서 Shell command 지원 전체 기능을 제거하였다. 

취약점을 제거하기 위해 KDE Frameworks 5.61.0으로 업데이트를 진행하고, Kdelibs 사용자는 KDE Project 권고에 제공된 Kdelibs 4.14 패치를 적용해야한다. 또한, .desktop과 .directory 파일을 다운로드하거나 신뢰할 수 없는 출처에서 아카이브 추출 하는 것을 피하는 것이 좋다.

[출처 - https://thehackernews.com/2019/08/kde-desktop-linux-vulnerability.html]

보안관제센터 MIR Team