چطور با اتصال یک فلش درایو می شود لینوکس را در هم ریخت؟

چند سال پیش مشکلی امنیتی در ویندوز پیدا شد که به برنامه های مخرب روی فلش درایو ( یا USB) اجازه می داد که با وجود غیر فعال بودن AutoPlay یا AutoRun ویندوز فقط با اتصال فلش درایو به کامپیوتر، خود به خود اجرا شوند. این آسیب پذیری Vulnerability به گونه ای بود که برنامه های مخرب نیاز به اینکه کاربر آن ها را اجرا کند نداشتند و با استفاده از حق دسترسی های کاربر User Privileges کد های مخرب را اجرا می کردند. البته بعدها مایکروسافت وصله های امنیتی را برای رفع این آسیب پذیری انتشار داد.

حال بعد از گذشت چند سال طبق یک Security Advisory که در سایت kde.org آمده است مشکلی مشابه همین برای کاربران لینوکس که از رابط کاربر KDE Plasma Desktop استفاده می کنند پیدا شده است.

بر این اساس، اگر در نام یک فلش درایو (یا Volume Label) متنی در بین کاراکترهای   ` ` یا ()$ وجود داشته باشد، این متن به عنوان یک دستور خط فرمان (یا Shell Command) اجرا می شود. بطور مثال اگر نام فلش درایو را (touch b)$ بگذاریم با اتصال فش درایو به کامپیوتر بدون اینکه آن را باز کنیم یک فایل به نام b در پوشه home کاربر ایجاد می شود.

با این آسیب پذیری به راحتی می توان یک سیستم لینوکس را با یک دستور ساده در نام فلش درایو در هم ریخت. البته این مشکل در ویرایش جدید KDE Plasma رفع شده است و توسعه دهندگان به کاربران KDE توصیه کرده اند که نسبت به بروزرسانی رابط کاربری اقدام کنند.