Når vi taler om Plasma, mindst en server, gør vi det for at fortælle om alle de fordele, som de smukke, flydende og fulde af KDE-skrivebordsmuligheder giver os, men i dag er vi nødt til at give mindre gode nyheder. Som indsamlet i ZDNet, har en sikkerhedsforsker gjort fundet en sårbarhed i plasma og har offentliggjort et bevis på koncept, der udnytter den eksisterende sikkerhedsfejl i KDE Framework. Der er ingen løsning tilgængelig lige nu, bortset fra en midlertidig løsning i form af en prognose, som KDE Community har lagt ud på Twitter.
Den første er den første. Før vi fortsætter med artiklen, må vi sige, at KDE allerede arbejder på at løse den nyligt opdagede sikkerhedsfejl. Endnu vigtigere end at vide, at de arbejder på at løse fejlen, er den midlertidige løsning, de tilbyder os: hvad Vi behøver IKKE at downloade filer med en .desktop eller .directory udvidelse fra upålidelige kilder. Kort sagt behøver vi ikke gøre noget, som vi aldrig skulle gøre, men denne gang med mere grund.
Sådan fungerer den opdagede plasmasårbarhed
Problemet ligger i, hvordan KDesktopFile håndterer de nævnte .desktop- og .directory-filer. Det blev opdaget, at .desktop- og .directory-filer kunne oprettes med ondsindet kode, der kunne bruges til at køre sådan kode på computeren af offeret. Når en Plasma-bruger åbner KDE-filhåndtering for at få adgang til det bibliotek, hvor disse filer er gemt, kører den ondsindede kode uden brugerinteraktion.
På den tekniske side, sårbarhed kan bruges til at gemme shell-kommandoer inden for standard "Ikon" poster, der findes i .desktop og .directory filer. Den, der opdagede fejlen, siger, at KDE «vil udføre vores kommando, hver gang filen ses".
Fejl med lav sværhedsgrad - social engineering skal bruges
Sikkerhedseksperterne de klassificerer ikke fiaskoen som meget alvorlig, primært fordi vi er nødt til at få os til at downloade filen på vores computer. De kan ikke klassificere det som seriøst, fordi .desktop- og .directory-filer er meget sjældne, dvs. det er ikke normalt for os at downloade dem over internettet. Med dette i tankerne skal de narre os til at downloade en fil med den ondsindede kode, der er nødvendig for at udnytte denne sårbarhed.
For at vurdere alle mulighederne er ondsindet bruger kunne komprimere filerne i ZIP eller TAR Og når vi pakkede det ud og så indholdet, ville den ondsindede kode køre uden vores bemærkning. Desuden kunne udnyttelsen bruges til at downloade filen til vores system uden at vi interagerede med den.
Hvem opdagede fallus, Penner, fortalte ikke KDE-samfundet fordi "Hovedsageligt ville jeg bare forlade en 0 dag før Defcon. Jeg planlægger at rapportere det, men problemet er mere en designfejl end en faktisk sårbarhed på trods af hvad den kan gøre«. På den anden side har KDE-samfundet ikke overraskende ikke været meget glad for, at en fejl blev offentliggjort, før den blev meddelt dem, men de har begrænset sig til at sige, at «Vi ville sætte pris på, hvis du kunne kontakte security@kde.org, inden du lancerer en udnyttelse for offentligheden, så vi sammen kan beslutte en tidslinje.".
Sårbar plasma 5 og KDE 4
De af jer, der er nye i KDE-verdenen, ved, at det grafiske miljø kaldes plasma, men det var ikke altid sådan. De første tre versioner blev kaldt KDE, mens den fjerde blev kaldt KDE Software Compilation 4. Separat navn, sårbare versioner er KDE 4 og Plasma 5. Den femte version blev udgivet i 2014, så det er svært for nogen at bruge KDE 4.
Under alle omstændigheder og venter på, at KDE Community frigiver den patch, de allerede arbejder på, for øjeblikket stol ikke på nogen, der sender dig en .desktop- eller .directory-fil. Dette er noget, vi altid skal gøre, men nu med mere grund. Jeg stoler på KDE-samfundet, og at om få dage vil alt blive løst.
