只需插入 USB 就能黑掉 Linux 设备

运行 KDE Plasma 桌面环境的 Linux 用户需要尽快打补丁，因为当用户在电脑中插入 USB 时就可导致恶意代码执行。

KDE Plasma 团队已发布版本 5.8.9 和 5.12.0 解决该“任意命令执行”漏洞 CVE-2018-6791。

从对漏洞的描述中可看出，卷标中存在字符 “ 或 $() 的USB 驱动器将把这些字符中包含的文本当作 shell 命令执行。

也就是说，攻击者能在 USB 驱动的名称中放入恶意代码并让它在受害者经过 KDE 插入 USB 浏览内容时在受害者计算机上自动执行。唯一的条件是，受害者必须运行一个 KDE 桌面环境，而 USB 驱动器必须是 VFAT 格式。例如，插入卷标为 $(touch b) 或 ‘touch b’ 的VFAT USB 驱动，将会在用户的主页目录中创建一个文件名称为 “b” 的文件。

多数安全研究员认为这个漏洞“非常滑稽”，因为这类问题早在20世纪90年代后期和21世纪初期就通过应用正确的输入清洁技术得以修复。

所有早于 5.12.0 版本之前的 KDE Plasma 版本都易受攻击。建议无法更新的用户经由除 KDE Device Notifier app （处理 KDE 环境中的可插入式设备）以外的其它方式安装新的 USB 设备。