Kui me räägime vähemalt ühest serverist Plasmast, siis teeme seda selleks, et lugeda kõiki eeliseid, mida ilusad, sujuvad ja täis KDE töölaua valikud meile pakuvad, kuid täna on meil vähem häid uudiseid. Nagu kogutud aastal ZDNet, turvauurijal on leidis haavatavuse Plasmas ja on avaldanud tõendi idee kohta, mis kasutab KDE raamistikus olemasolevat turvaviga. Praegu pole muud lahendust kui ajutine lahendus prognoosi kujul, mille KDE kogukond on Twitterisse postitanud.
Esimene on esimene. Enne artikli jätkamist peame ütlema, et KDE töötab juba hiljuti avastatud turvavea parandamiseks. Veelgi olulisem kui teadmine, et nad töötavad ebaõnnestumise lahendamiseks, on ajutine lahendus, mida nad meile pakuvad: mida Me EI pea tegema failide allalaadimist laiendiga .desktop või .directory ebausaldusväärsetest allikatest. Lühidalt öeldes ei pea me tegema midagi, mida me kunagi ei peaks tegema, vaid seekord rohkem põhjusega.
Kuidas avastatud Plasma haavatavus töötab
Probleem on selles, kuidas KDesktopFile käsitleb mainitud .desktop- ja .directory-faile. Avastati, et .desktop- ja .directory-faile saab luua pahatahtlik kood, mida saab kasutada sellise koodi käitamiseks arvutis ohvri kohta. Kui Plasma kasutaja avab KDE failihalduri, et pääseda juurde kataloogi, kuhu need failid on salvestatud, töötab pahatahtlik kood ilma kasutaja sekkumiseta.
Tehnilise poole pealt haavatavus saab kasutada shellikäskude salvestamiseks standardsete kirjete "Ikoon" sees .desktop ja .directory failides. Kes vea avastas, ütleb, et KDE «täidab meie käsu alati, kui fail on nähtav"
Väikese raskusastmega loetletud viga - tuleb kasutada sotsiaalset tehnikat
Turvaeksperdid nad ei klassifitseeri riket väga tõsiseks, peamiselt seetõttu, et peame saama faili oma arvutisse alla laadima. Nad ei saa seda tõsiseks liigitada, kuna .desktop- ja .directory-failid on väga haruldased, see tähendab, et pole tavaline, et me neid Interneti kaudu alla laadime. Seda silmas pidades peaksid nad meid petma selle haavatavuse kasutamiseks vajaliku pahatahtliku koodiga faili alla laadima.
Kõigi võimaluste hindamiseks pahatahtlik kasutaja võib failid ZIP-is või TAR-is tihendada Ja kui me selle lahti pakkisime ja sisu vaatasime, jooksis pahatahtlik kood meie märkamata. Pealegi võiks seda kasutamist kasutada faili meie süsteemi allalaadimiseks ilma, et me sellega suhtleksime.
Kes avastas fallose, Penner, ei öelnud KDE kogukonnale sest "Peamiselt tahtsin lihtsalt 0 päeva enne Defconit lahkuda. Kavatsen sellest teatada, kuid vaatamata sellele, mida see suudab, on küsimus pigem disainiviga kui tegelik haavatavus«. Teisest küljest pole KDE kogukond üllatusena olnud eriti õnnelik, et viga avaldatakse enne, kui nad sellest neile teatavad, kuid nad on piirdunud sellega, et öeldakse:Oleksime tänulikud, kui saaksite enne avalikkuse ärakasutamist ühendust võtta aadressil security@kde.org, et saaksime koos ajaskaala üle otsustada."
Haavatav plasma 5 ja KDE 4
Need teist, kes on KDE maailmas uued, teavad, et graafilist keskkonda nimetatakse plasmaks, kuid see ei olnud alati selline. Esimesi kolme versiooni nimetati KDE-ks, neljandat aga KDE tarkvara kompileerimiseks 4. Eraldi nimi, haavatavamad versioonid on KDE 4 ja Plasma 5. Viies versioon ilmus 2014. aastal, nii et kellelgi on keeruline KDE 4 kasutada.
Igal juhul ja oodates, millal KDE kogukond vabastab hetkel töötava plaastri ära usalda kedagi, kes saadab sulle .desktop- või .directory-faili. Seda peame alati tegema, kuid nüüd rohkem põhjusega. Usaldan KDE kogukonda ja et mõne päeva pärast on kõik lahendatud.
