Atualização com correção de segurança para o KDE já está disponível no Debian e Ubuntu


Algumas semanas atrás, a comunidade KDE corrigiu uma vulnerabilidade de segurança descoberta por Dominik Penner no componente KConfig, a estrutura de configurações do ambiente gráfico KDE Plasma, que poderia permitir que um invasor executasse códigos maliciosos por meio de um arquivo .desktop no gerenciador de arquivos.

"Dominik Penner descobriu que o KConfig suportava um recurso para definir a execução de comandos em shell em arquivos .desktop. Se um usuário receber um arquivo .desktop mal formado (por exemplo, se for incorporado a um arquivo baixado e for aberto em um navegador de arquivos), comandos arbitrários poderão ser executados. Esta atualização remove esse recurso", diz o aviso de segurança do Debian.

O problema afetou as versões do pacote de software KDE Frameworks menor que o release 5.61.0 anunciado em 10 de agosto de 2019. Patches foram disponibilizados dentro de dois dias a partir do relatório de bug inicial, e eles estavam entrando nos repositórios de software estáveis das distribuições Linux mais populares desde então.

Como é o caso do Debian, que lançou uma atualização de segurança para lidar com a referida vulnerabilidade (CVE-2019-14744) nas série 9 "Stretch" e 10 "Buster" do Debian. Com isso, os usuários devem atualizar o pacote kconfig em suas instalações para as versões 5.28.0-2+deb9u1 e 5.54.0-1+deb10u1, respectivamente.

Por outro lado, a Canonical lançou hoje versões atualizadas dos pacotes kconfig e kde4libs para corrigir a vulnerabilidade (CVE-2016-6232) descoberta por Dominik Penner, bem como para um problema de segurança de 3 anos.

Patches estão disponíveis agora para as séries Ubuntu 19.04 (Disco Dingo), Ubuntu 18.04 LTS (Bionic Beaver) e Ubuntu 16.04 LTS (Xenial Xerus), incluindo as respectivas variantes do Kubuntu.


FONTE: Softpedia
Tags :
Comentários