Když mluvíme o plazmě, alespoň o jednom serveru, uděláme to proto, abychom vyprávěli o všech výhodách, které nám nabízejí krásné, plynulé a plné možnosti desktopu KDE, ale dnes musíme dávat méně dobré zprávy. Jak jsou shromážděny v ZDNet, bezpečnostní výzkumník má našel zranitelnost v plazmě a zveřejnil důkaz konceptu využívajícího existující bezpečnostní chybu v rámci KDE. Momentálně není k dispozici žádné řešení kromě dočasného ve formě předpovědi, kterou komunita KDE zveřejnila na Twitteru.
První je první. Než budeme pokračovat v článku, musíme říci, že KDE již pracuje na opravě nedávno objevené bezpečnostní chyby. Ještě důležitější než vědět, že pracují na vyřešení selhání, je dočasné řešení, které nám nabízejí: co NEMUSÍME stahovat soubory s příponou .desktop nebo .directory z nespolehlivých zdrojů. Stručně řečeno, nemusíme dělat něco, co bychom nikdy neměli dělat, ale tentokrát z více důvodů.
Jak funguje zjištěná zranitelnost plazmy
Problém je v tom, jak KDesktopFile zpracovává zmíněné soubory .desktop a .directory. Bylo zjištěno, že soubory .desktop a .directory lze vytvořit pomocí škodlivý kód, který lze použít ke spuštění takového kódu v počítači oběti. Když uživatel plazmy otevře správce souborů KDE pro přístup do adresáře, kde jsou tyto soubory uloženy, škodlivý kód se spustí bez zásahu uživatele.
Po technické stránce zranitelnost lze použít k ukládání příkazů prostředí v rámci standardních položek „Ikona“ nalezených v souborech .desktop a .directory. Kdokoli objevil chybu, říká, že KDE «provede náš příkaz, kdykoli je soubor viděn".
Uvedená chyba nízké závažnosti - je nutné použít sociální inženýrství
Bezpečnostní experti neklasifikují selhání jako velmi závažné, hlavně proto, že nás musíme přimět ke stažení souboru do našeho počítače. Nemohou to klasifikovat jako závažné, protože soubory .desktop a .directory jsou velmi vzácné, to znamená, že pro nás není normální stahovat je přes internet. S ohledem na to by nás měli přimět ke stažení souboru se škodlivým kódem nezbytným k zneužití této chyby zabezpečení.
Aby bylo možné posoudit všechny možnosti, uživatel se zlými úmysly mohl komprimovat soubory ve formátu ZIP nebo TAR A když jsme jej rozbalili a prohlédli si obsah, škodlivý kód by se spustil, aniž bychom si toho všimli. Exploit lze dále použít ke stažení souboru do našeho systému, aniž bychom s ním interagovali.
Kdo objevil falus, Penner, neřekl to komunitě KDE protože "Hlavně jsem chtěl odejít 0 dní před Defconem. Mám v plánu to nahlásit, ale problém je spíše chybou designu než skutečnou zranitelností, navzdory tomu, co dokáže«. Na druhou stranu komunita KDE nepřekvapivě nebyla moc šťastná, že je chyba zveřejněna před tím, než jim byla sdělena, ale omezili se na to, že «Ocenili bychom, kdybyste před spuštěním exploitu pro veřejnost mohli kontaktovat security@kde.org, abychom se mohli společně rozhodnout na časové ose.".
Zranitelná plazma 5 a KDE 4
Ti z vás, kteří jsou ve světě KDE noví, vědí, že grafické prostředí se jmenuje Plasma, ale nebylo tomu tak vždy. První tři verze se nazývaly KDE, zatímco čtvrtá se jmenovala KDE Software Compilation 4. Samostatný název, zranitelné verze jsou KDE 4 a Plasma 5. Pátá verze byla vydána v roce 2014, takže je pro kohokoli těžké používat KDE 4.
V každém případě a čeká, až komunita KDE vydá patch, na kterém prozatím pracuje nedůvěřujte nikomu, kdo vám pošle soubor .desktop nebo .directory. To je něco, co musíme vždy dělat, ale nyní s více důvody. Věřím komunitě KDE a že za pár dní bude vše vyřešeno.
