Quan parlem sobre Plasma, almenys un servidor, ho fem per explicar totes les bondats que ens ofereix el preciós, fluid i ple d'opcions escriptori KDE, però avui hem de donar notícies menys bones. Tal com recullen en ZDNet, Un investigador de seguretat ha trobat una vulnerabilitat en Plasma i ha publicat una prova de concepte explotant la fallada de seguretat existent al Framework del KDE. Ara mateix no hi ha cap solució disponible, més enllà d'una temporal en forma de previsió que el KDE Community ha publicat a Twitter.
El primer és el primer. Abans de seguir amb l'article hem de dir que el KDE ja està treballant per solucionar la fallada de seguretat recentment descobert. Més important encara de saber que treballen per solucionar la fallada és la solució temporal que ens ofereixen: el que NO hem de fer és descarregar arxius amb extensió .desktop o .directory de fonts no fiables. Resumint, no hem de fer alguna cosa que se suposa que no hem de fer mai, però aquest cop amb més raó.
Com funciona la vulnerabilitat de Plasma descoberta
El problema està en com gestiona KDesktopFile els fitxers .desktop i .directory esmentats. Es va descobrir que es podien crear fitxers .desktop i .directory amb codi maliciós que podien usar-se per a executar aquest codi a l'ordinador de la víctima. Quan un usuari de Plasma obre el gestor de fitxers del KDE per accedir a directori on s'han emmagatzemat aquests arxius, el codi maliciós s'executa sense la interacció de l'usuari.
A la part tècnica, la vulnerabilitat es pot usar per emmagatzemar ordres shell dins de les entrades estàndard «Icon» trobades en els fitxers .desktop i .directory. Qui va descobrir la sentència diu que el KDE «executarà la nostra ordre quan sigui que l'arxiu es vegi".
Fallada catalogat de poca gravetat: cal usar enginyeria social
Els experts de seguretat no cataloguen la sentència com a molt greu, Principalment perquè cal aconseguir que descarreguem l'arxiu al nostre ordinador. No poden catalogar-lo com greu perquè els fitxers .desktop i .directory són molt poc comuns, és a dir, no és normal que els descarreguem per internet. Tenint en compte això, se suposa que ens han de enganyar perquè descarreguem un arxiu amb el codi maliciós necessari per explotar aquesta vulnerabilitat.
Per valorar totes les possibilitats, el usuari malintencionat podria comprimir els arxius en ZIP o TAR i, quan ho des comprimiéramos i visualizaramos el contingut, el codi maliciós s'executaria sense que ens adonéssim. Encara més, l'exploit podria usar-se per descarregar l'arxiu en el nostre sistema sense que interaccionemos amb ell.
Qui va descobrir el fal·lus, Penner, no hi va comunicar a KDE Community perquè «Principalment només volia deixar un 0day abans de Defcon. Planejo informar, però el problema és més una fallada de disseny que una vulnerabilitat real, tot i el que pot fer«. D'altra banda, a KDE Community, com era d'esperar, no li ha fet molta gràcia que es publiqui una fallada abans que l'hi comuniquin a ells, però s'han limitat a dir que «Agrairíem que contactessin amb security@kde.org abans de llançar un exploit a l'publico perquè poguéssim decidir junts en una línia de temps".
Vulnerables Plasma 5 i KDE 4
Els més nous en el món del KDE sabeu que l'entorn gràfic es diu Plasma, però no sempre va ser així. Les tres primeres versions es van cridar KDE, mentre que la quarta es va cridar KDE Software Compilation 4. Nom a part, les versions vulnerables són KDE 4 i Plasma 5. La cinquena versió es va llançar el 2014, per la qual cosa és difícil que algú estigui fent servir KDE 4.
En qualsevol cas ia l'espera que el KDE Community llanci el pegat en el qual ja estan treballant, de moment no us fieu de ningú que us enviï un fitxer .desktop o .directory. Això és una cosa que hem de fer sempre, però ara amb més motiu. Confio KDE Community i en què en pocs dies estarà tot solucionat.
