Pana saptamana trecuta ai fi putut compromite un sistem Linux KDE desktop cu un USB stick

O actualizare recenta a Linux KDE desktop a rezolvat un bug vechi de ani buni.

Problema era ca daca un stick USB de tip VFAT avea numele de volumului  $( ) sau ` `  cand acesta era introdus intr-un port USB al unui sistem care rula Linux KDE desktop executa automat orice comanda se afla inclusa in   $([comanda]) sau `[comanda]`. Acest lucru putea fi exploatat de un atacator pentru a compromite orice sistem care rula acest sistem de operare.

De exemplu un stick USB cu numele volumului “$( touch b)” creeaza un fisier b in directorul home al utilizatorului sistemului, cand stick-ul este introdus in portul USB.