درصورتیکه کاربر یک محیط دسکتاپ KDE را در سیستمعامل لینوکس اجرا کند، باید بسیار مراقب باشد و از بارگیری هر گونه فایل «.desktop» یا «.directory» خودداری کند. یک پژوهشگر امنیت سایبری، آسیبپذیری روز-صفرم وصلهنشده در چارچوب نرمافزاری KDE را افشا کرد که به فایلهای .desktop و .directory اجازه میدهد تا بهطور مخفیانه کد دلخواه را در رایانهی یک کاربر و بدون نیاز به باز شدن آن توسط قربانی اجرا کنند.
KDE Plasma یکی از محبوبترین محیطهای دسکتاپ مبتنیبر ویجت متنباز برای کاربران لینوکس است و بهعنوان یک محیط دسکتاپ پیشفرض در بسیاری از توزیعهای لینوکس مانند Manjaro، openSUSE، Kubuntu و PCLinuxOS است. این پژوهشگر امنیتی به نام دومینیک پِنر که این آسیبپذیری را کشف کرد هشدار داد که یک آسیبپذیری تزریق دستور در محیط دسکتاپ KDE 4/5 Plasma وجود دارد که ناشی از روش مدیریت فایلهای .desktop و .directory توسط KDE است.
بهرهبرداری از این آسیبپذیری که بستهی KDE Frameworks ۵٫۶۰٫۰ را تحت تأثیر قرار میدهد، ساده است، زیرا یک مهاجم باید کاربر KDE را فریب دهد تا یک آرشیو حاوی یک فایل .desktop و .directory مخرب را بارگیری کند. این پژوهشگر تشریح کرد که بااستفاده از یک فایل .desktop مخرب، کاربر راه دور ممکن است بهوسیلهی بارگیری و مشاهدهی فایل در مدیر فایل خود و یا با کشیدن و رها کردن یک پیوند به اسناد و یا دسکتاپ خود در معرض خطر قرار گیرد. به لحاظ تئوری، درصورتیکه بتوان ورودیهای پیکربندی را کنترل کرد و آنها را خواند، میتوان به تزریق دستور نیز دست یافت.
پِنر برای این آسیبپذیری بههمراه دو ویدئو که نشان میدهد سناریوهای حمله از آسیبپذیری تزریق دستور KDE KDesktopFile بهرهبرداری میکنند، کد بهرهبرداری منتشر کرد. ظاهراً وی این آسیبپذیری را قبل از انتشار جزئیات و بهرهبرداریهای اثبات مفهومی به توسعهدهندگان KDE گزارش نداده است و جامعهی KDE ضمن تأیید این آسیبپذیری به کاربران اطمینان داد که درحال عرضهی یک وصله برای آن است. (ویدئو۱ و ویدئو۲ )
توسعهدهندگان KDE به کاربران توصیه کردهاند تا زمانیکه این آسیبپذیری وصله نشده است، از بارگیری فایلهای .desktop و .directory و استخراج آرشیوها از منابع غیرقابل اطمینان خودداری کنند. توسعهدهندگان KDE با حذف کل ویژگیهای پشتیبانی از دستورات شل در فایلهای KConfig این آسیبپذیری را وصله کرده است. بهگفتهی توسعهدهندگان، ممکن است KConfig توسط افراد متخلف مورد سوءاستفاده قرار گیرد تا کاربران KDE را مجبور کند تا چنین فایلهایی را نصب کنند و بدون هیچ اقدامی از طرف کاربر کد را اجرا کنند.
KDE در مشاورهنامهی امنیتی خود بیان کرد که یک مدیر فایل در تلاش است تا آیکون مربوط به یک فایل یا مسیر را که میتواند اجرای کد را خاتمه دهد و یا هر برنامهای را که بااستفاده از KConfig میتواند اجرای کد مخرب را خاتمه دهد، پیدا کند. پس از بررسی دقیق، کل ویژگیهای پشتیبانی از دستورات شل در ورودیهای KConfig حذف شده است، زیرا نمیتوان یک مورد استفادهی واقعی برای آن یافت. به کاربران توصیه میشود که به نسخهی ۵٫۶۱٫۰ KDE Framework 5 بهروزرسانی کنند و به کاربران kdelibs توصیه میشود تا این وصله را برای kdelibs 4.14 اعمال کنند.