Luka oznaczona jako CVE-2018-6791 tkwi w mechanizmieautomatycznego montowania nośników pamięci. Aby przeprowadzićatak, wystarczy przygotować pendrive sformatowany w standardowymsystemie plików FAT32 i ustawić mu etykietę, zawierającej znaki`` lub $().
Ofiara nie musi zrobić niczego innego oprócz włożeniapendrive’a do portu USB – komponent Plazmy do powiadamiania ourządzeniach pamięci masowej (DeviceNotifier) odczyta uzłośliwionąetykietę. Wszystko co znajdzie się między felernymi znakamizostanie wykonane jako polecenie powłoki – nawet jeśli etykietąbędzie ciąg rm -rf .[^.] .??*, czyli polecenie usuwającewszystkie ukryte pliki i katalogi.
Wow, that sounds pretty horrible. This is why I still mount things the old way, with mount.
— Mike Gualtieri (@mlgualtieri) February 11, 2018Luka została jużzałatana w aktualizacjach KDE Plazmy do wersji 5.12.0 oraz5.8.9. Użytkownikom, którzy z jakiegoś powodu nie mogą skorzystaćz tych łatek, radzi się, aby wyłączyli mechanizm automatycznegomontowania i robili to jak za dawnych dobrych czasów, poleceniemmount z konsoli.