Portál AbcLinuxu, 26. dubna 2024 14:44
Dominik Penner (@zer0pwn) zveřejnil informace o zatím neopravené bezpečnostní chybě v KDE Plasma. Pouhým otevřením adresáře s útočníkem připraveným souborem .desktop nebo .directory v Dolphinu může být spuštěn libovolný příkaz. Viz videoukázka na YouTube. Vývojáři KDE zatím doporučují nestahovat soubory .desktop a .directory a nerozbalovat archivy z neznámých zdrojů.
Tiskni
Sdílej:
To je jistě nedokumentovaná funkce autorun jako ve windows a proto je rada nestahovat soubory .desktop a .directory a nerozbalovat archivy z neznámých zdrojů :)
7.8.2019 23:46
Icon[$e]=$(echo${IFS}0>~/Desktop/zero.lol&(hodnota pre Icon sa generuje cez shell)
XDG štandard nič také neobsahuje a, pokiaľ viem, nič podobné nepodporuje ani žiadne iné DE.
If an entry is marked with `$e`, environment variables and shell commands will be expanded.Poučný je z tohoto pohledu taky commit co to opravuje:Name[$e]=$USER Host[$e]=$(hostname)When the "Name" entry is read `$USER` will be replaced with the value of the `$USER` environment variable, and `$(hostname)` will be replaced with the output of the `hostname` command.
It is very unclear at this point what a valid use case for this feature would possibly be. The old documentation only mentions $(hostname) as an example, which can be done with $HOSTNAME instead. Note that $(...) is still supported in Exec lines of desktop files, this does not require [$e] anyway (and actually works better without it, otherwise the $ signs need to be doubled to obey kconfig $e escaping rules...).A zdá se, že tahle functionalita až roku 2002, tj. je tu s námi od verze 3.1.0.
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.