运行KDE等离子桌面环境的Linux用户需要尽快打补丁，因为当用户在电脑中插入USB时就可导致恶意代码执行。

KDE Plasma团队已发布版本5.8.9和5.12.0解决该“任意命令执行”漏洞CVE-2018-6791。

从对漏洞的描述中可以看出，卷标中存在字符“或$()的USB驱动器将把这些字符中包含的文本当作shell命令执行。

也就是说，攻击者能够在USB驱动的名称中放入恶意代码并让它在受害者经过KDE插入USB浏览内容时受害者计算机上自动执行。唯一的条件是，受害者必须运行一个KDE桌面环境，而USB驱动器必须是VFAT格式。例如，插入卷标为$(touch b)或'touch b'的VFAT USB驱动，将会在用户的主页目录中创建一个文件名称为“b”的文件。

多数安全研究员认为这个漏洞“非常滑稽”，因为这类问题早在20世纪90年代后期和21世纪初期就通过应用正确的输入清洁技术得以修复。

所有早于5.12.0版本之前的KDE等离子版本都易受攻击。建议无法更新的用户经由除KDE Device Notifier应用程序(处理KDE环境中的可插入式设备)以外的其它方式安装新的USB设备。

(责任编辑：安博涛)