Kun puhumme ainakin yhdestä palvelimesta Plasmasta, teemme sen laskeaksemme kaikki edut, joita kauniit, sujuvat ja täynnä KDE-työpöytävalintoja tarjoavat meille, mutta tänään meillä on vähemmän hyviä uutisia. Kuten kerätty ZDNet, turvallisuustutkijalla on löysi haavoittuvuuden plasmasta ja on julkaissut todistuksen käsitteestä, joka hyödyntää KDE-kehyksen olemassa olevaa tietoturva-aukkoa. Tällä hetkellä ei ole saatavilla muuta ratkaisua kuin väliaikainen ratkaisu ennusteen muodossa, jonka KDE-yhteisö on kirjoittanut Twitteriin.
Ensimmäinen on ensimmäinen. Ennen kuin jatkat artikkelin kanssa, meidän on sanottava, että KDE pyrkii jo korjaamaan äskettäin löydetyn tietoturvaongelman. Vielä tärkeämpää kuin tieto siitä, että he työskentelevät epäonnistumisen ratkaisemiseksi, on heidän meille tarjoama väliaikainen ratkaisu: mitä Meidän EI tarvitse tehdä lataamalla tiedostoja .desktop- tai .directory-laajennuksella epäluotettavista lähteistä. Lyhyesti sanottuna meidän ei tarvitse tehdä jotain, mitä meidän ei koskaan pitäisi tehdä, mutta tällä kertaa enemmän syytä.
Kuinka löydetty plasma-haavoittuvuus toimii
Ongelmana on, kuinka KDesktopFile käsittelee mainittuja .desktop- ja .directory-tiedostoja. Havaittiin, että .desktop- ja .directory-tiedostoja voitiin luoda haitallinen koodi, jota voidaan käyttää tällaisen koodin suorittamiseen tietokoneessa uhrin. Kun plasman käyttäjä avaa KDE-tiedostonhallinnan päästäksesi hakemistoon, johon nämä tiedostot on tallennettu, haittaohjelma suoritetaan ilman käyttäjän toimia.
Teknisellä puolella haavoittuvuus voidaan käyttää shell-komentojen tallentamiseen .desktop- ja .directory-tiedostoista löytyvien tavallisten "Icon" -merkintöjen sisällä. Kuka löysi virheen, sanoo, että KDE «suorittaa komentomme aina, kun tiedosto näkyy".
Pienen vakavuuden mukainen vika - sosiaalista suunnittelua on käytettävä
Turvallisuusasiantuntijat he eivät luokittele epäonnistumista erittäin vakavaksi, lähinnä siksi, että meidän on saatava meidät lataamaan tiedosto tietokoneellemme. He eivät voi luokitella sitä vakavaksi, koska .desktop- ja .directory-tiedostot ovat hyvin harvinaisia, toisin sanoen ei ole normaalia, että lataamme niitä Internetin kautta. Tässä mielessä heidän on tarkoitus huijata meidät lataamaan tiedosto haavoittuvalla koodilla, joka tarvitaan tämän haavoittuvuuden hyödyntämiseen.
Kaikkien mahdollisuuksien arvioimiseksi haitallinen käyttäjä voi pakata tiedostot ZIP- tai TAR-tiedostoina Ja kun purimme sen pakkauksesta ja katselimme sisältöä, haitallinen koodi ajettiin huomaamatta. Lisäksi hyödyntämistä voitaisiin käyttää lataamaan tiedosto järjestelmäämme ilman, että olemme vuorovaikutuksessa sen kanssa.
Kuka löysi falloksen, Penner, ei kertonut KDE-yhteisölle koska "Halusin vain lähteä 0 päivää ennen Defconia. Aion ilmoittaa siitä, mutta asia on enemmän suunnitteluvirhe kuin todellinen haavoittuvuus, huolimatta siitä, mitä se voi tehdä«. Toisaalta KDE-yhteisö ei ole yllättävää, ettei ole ollut kovin onnellinen siitä, että jokin vika julkaistaan ennen kuin siitä ilmoitetaan heille, mutta he ovat rajoittuneet sanomaan, että «Olisimme kiitollisia, jos voisit ottaa yhteyttä osoitteeseen security@kde.org ennen kuin aloitat hyödyntämisen yleisölle, jotta voimme päättää yhdessä aikataulusta.".
Haavoittuva plasma 5 ja KDE 4
Ne teistä, jotka ovat uusia KDE-maailmassa, tietävät, että graafista ympäristöä kutsutaan plasmaksi, mutta se ei aina ollut sellainen. Kolme ensimmäistä versiota kutsuttiin nimellä KDE, kun taas neljännen nimi oli KDE-ohjelmistokokoelma 4. Erillinen nimi, haavoittuvia versioita ovat KDE 4 ja Plasma 5. Viides versio julkaistiin vuonna 2014, joten kenenkään on vaikea käyttää KDE 4: ää.
Joka tapauksessa ja odotan KDE-yhteisön vapauttavan korjaustiedoston, jota he jo työskentelevät älä luota ketään, joka lähettää sinulle .desktop- tai .directory-tiedoston. Meidän on aina tehtävä tämä, mutta nyt enemmän syistä. Luotan KDE-yhteisöön ja että muutamassa päivässä kaikki ratkaistaan.
