Wenn wir über Plasma sprechen, mindestens einen Server, zählen wir alle Vorteile, die uns die schönen, flüssigen und voll mit KDE-Desktop-Optionen bieten, aber heute haben wir weniger gute Nachrichten. Wie in gesammelt ZDNethat ein Sicherheitsforscher habe eine Sicherheitslücke in Plasma gefunden und hat einen Proof of Concept veröffentlicht, der die vorhandene Sicherheitslücke im KDE-Framework ausnutzt. Derzeit ist keine andere Lösung verfügbar als eine vorübergehende in Form einer Prognose, die die KDE-Community auf Twitter veröffentlicht hat.
Der erste ist der erste. Bevor wir mit dem Artikel fortfahren, müssen wir sagen, dass KDE bereits daran arbeitet, die kürzlich entdeckte Sicherheitslücke zu beheben. Noch wichtiger als zu wissen, dass sie daran arbeiten, den Fehler zu beheben, ist die vorübergehende Lösung, die sie uns anbieten: Was Wir müssen NICHT Dateien mit der Erweiterung .desktop oder .directory herunterladen aus unzuverlässigen Quellen. Kurz gesagt, wir müssen nichts tun, was wir niemals tun sollten, aber diesmal mit mehr Grund.
Wie die entdeckte Plasma-Sicherheitslücke funktioniert
Das Problem besteht darin, wie KDesktopFile mit den genannten .desktop- und .directory-Dateien umgeht. Es wurde festgestellt, dass .desktop- und .directory-Dateien mit erstellt werden können bösartiger Code, der verwendet werden könnte, um solchen Code auf dem Computer auszuführen des Opfers. Wenn ein Plasma-Benutzer den KDE-Dateimanager öffnet, um auf das Verzeichnis zuzugreifen, in dem diese Dateien gespeichert sind, wird der Schadcode ohne Benutzerinteraktion ausgeführt.
Auf der technischen Seite Verwundbarkeit kann zum Speichern von Shell-Befehlen verwendet werden innerhalb der Standardeinträge "Icon" in den .desktop- und .directory-Dateien. Wer den Fehler entdeckt hat, sagt, dass KDE «führt unseren Befehl aus, wenn die Datei angezeigt wird«.
Fehler mit niedrigem Schweregrad - Social Engineering muss verwendet werden
Die Sicherheitsexperten Sie stufen den Fehler nicht als sehr schwerwiegend ein, hauptsächlich, weil wir uns dazu bringen müssen, die Datei auf unseren Computer herunterzuladen. Sie können es nicht als schwerwiegend einstufen, da .desktop- und .directory-Dateien sehr selten sind, das heißt, es ist nicht normal, dass wir sie über das Internet herunterladen. In diesem Sinne sollen sie uns dazu verleiten, eine Datei mit dem schädlichen Code herunterzuladen, der erforderlich ist, um diese Sicherheitsanfälligkeit auszunutzen.
Um alle Möglichkeiten einzuschätzen, muss die böswilliger Benutzer könnte die Dateien in ZIP oder TAR komprimieren Und wenn wir es entpacken und den Inhalt anzeigen, wird der Schadcode ohne unser Wissen ausgeführt. Darüber hinaus kann der Exploit verwendet werden, um die Datei auf unser System herunterzuladen, ohne dass wir damit interagieren.
Wer hat den Phallus entdeckt? Penner, sagte der KDE-Community nicht weil "Hauptsächlich wollte ich nur einen Tag vor Defcon verlassen. Ich habe vor, es zu melden, aber das Problem ist eher ein Konstruktionsfehler als eine tatsächliche Sicherheitslücke, trotz dessen, was es tun kann«. Andererseits war die KDE-Community nicht sehr erfreut darüber, dass ein Fehler veröffentlicht wurde, bevor er ihnen mitgeteilt wurde, aber sie haben sich darauf beschränkt, dies zu sagen. «Wir würden uns freuen, wenn Sie sich an security@kde.org wenden könnten, bevor Sie einen Exploit für die Öffentlichkeit starten, damit wir gemeinsam einen Zeitplan festlegen können.«.
Anfälliges Plasma 5 und KDE 4
Diejenigen unter Ihnen, die neu in der KDE-Welt sind, wissen, dass die grafische Umgebung Plasma heißt, aber das war nicht immer so. Die ersten drei Versionen hießen KDE, während die vierte KDE Software Compilation 4 hieß. Separater Name, Anfällige Versionen sind KDE 4 und Plasma 5. Die fünfte Version wurde 2014 veröffentlicht, daher ist es für niemanden schwierig, KDE 4 zu verwenden.
Auf jeden Fall warten wir darauf, dass die KDE Community den Patch veröffentlicht, an dem sie gerade arbeiten Vertrauen Sie niemandem, der Ihnen eine .desktop- oder .directory-Datei sendet. Das müssen wir immer tun, aber jetzt mit mehr Grund. Ich vertraue der KDE Community und dass in ein paar Tagen alles gelöst sein wird.
