Se ha descubierto una nueva vulnerabilidad zero day en KDE Frameworks que permite la ejecución de código malicioso en el ordenador cuando kconfig lee la configuración de un archivo .desktop o .directory. Los archivos .directory son creado por aplicaciones como Dolphin para guardar la configuración de una carpeta en concreto, como el tamaño de los iconos. Así, si un usuario descomprime un archivo que contiene este con código malicioso, solo necesita abrir el directorio para que se ejecute el código.
KDE ya ha lanzado una nueva actualización de KDE Frameworks que evita esto eliminando la característica que permitía ejecutar código shell en dichos archivos. Te recomendamos que actualices tu sistema lo más rápido posible para evitar problemas indeseados.
Dominik Penner, quien ha descubierto este fallo de seguridad, ha generado cierta polémica en la comunidad al hacer público el problema y no comunicarlo por privado a la fundación KDE.
Más información | KDE