Ketika kami berbicara tentang Plasma, setidaknya satu server, kami melakukannya untuk memberi tahu tentang semua manfaat yang ditawarkan oleh opsi desktop KDE yang indah, lancar, dan lengkap, tetapi hari ini kami harus memberikan lebih sedikit kabar baik. Seperti yang dikumpulkan dalam ZDNet, seorang peneliti keamanan memiliki menemukan kerentanan di Plasma dan telah menerbitkan bukti konsep yang mengeksploitasi kelemahan keamanan yang ada di Kerangka KDE. Saat ini belum ada solusi yang tersedia, selain solusi sementara berupa ramalan yang telah diposting oleh Komunitas KDE di Twitter.
Yang pertama adalah yang pertama. Sebelum melanjutkan artikel kami harus mengatakan bahwa KDE sudah bekerja untuk memperbaiki kelemahan keamanan yang baru ditemukan. Bahkan lebih penting daripada mengetahui bahwa mereka sedang bekerja untuk memecahkan kegagalan adalah solusi sementara yang mereka tawarkan kepada kita: apa Yang TIDAK perlu kami lakukan adalah mengunduh file dengan ekstensi .desktop atau .directory dari sumber yang tidak dapat dipercaya. Singkatnya, kita tidak harus melakukan sesuatu yang seharusnya tidak pernah kita lakukan, tetapi kali ini dengan lebih banyak alasan.
Cara kerja kerentanan Plasma yang ditemukan
Masalahnya adalah bagaimana KDesktopFile menangani file .desktop dan .directory yang disebutkan. Ditemukan bahwa file .desktop dan .directory dapat dibuat dengan kode berbahaya yang dapat digunakan untuk menjalankan kode tersebut di komputer dari korban. Ketika pengguna Plasma membuka pengelola file KDE untuk mengakses direktori tempat file-file ini disimpan, kode berbahaya berjalan tanpa interaksi pengguna.
Di sisi teknis, kerentanan dapat digunakan untuk menyimpan perintah shell dalam entri "Ikon" standar yang ditemukan di file .desktop dan .directory. Siapapun yang menemukan bug mengatakan bahwa KDE «akan menjalankan perintah kami setiap kali file tersebut dilihat".
Bug terdaftar dengan tingkat keseriusan rendah - manipulasi psikologis harus digunakan
Pakar keamanan mereka tidak mengklasifikasikan kegagalan tersebut sebagai sangat serius, terutama karena kami harus meminta kami mengunduh file di komputer kami. Mereka tidak dapat mengklasifikasikannya sebagai serius karena file .desktop dan .directory sangat jarang, artinya tidak normal bagi kami untuk mendownloadnya melalui internet. Dengan pemikiran ini, mereka seharusnya menipu kita agar mengunduh file dengan kode berbahaya yang diperlukan untuk mengeksploitasi kerentanan ini.
Untuk menilai semua kemungkinan, file pengguna jahat dapat memampatkan file dalam ZIP atau TAR Dan saat kami membuka ritsletingnya dan melihat isinya, kode berbahaya akan berjalan tanpa kami sadari. Lebih lanjut, exploit tersebut dapat digunakan untuk mengunduh file ke sistem kami tanpa kami berinteraksi dengannya.
Siapa yang menemukan lingga, Penner, tidak memberi tahu Komunitas KDE karena "Terutama saya hanya ingin pergi 0 hari sebelum Defcon. Saya berencana untuk melaporkannya, tetapi masalahnya lebih pada cacat desain daripada kerentanan yang sebenarnya, terlepas dari apa yang dapat dilakukannya«. Di sisi lain, Komunitas KDE, tidak mengherankan, tidak terlalu senang bahwa bug dipublikasikan sebelum dikomunikasikan kepada mereka, tetapi mereka hanya mengatakan bahwa «Kami akan sangat menghargai jika Anda dapat menghubungi security@kde.org sebelum meluncurkan eksploit ke publik sehingga kami dapat memutuskan bersama pada timeline.".
Rentan Plasma 5 dan KDE 4
Bagi Anda yang baru mengenal KDE tahu bahwa lingkungan grafis disebut Plasma, tetapi tidak selalu seperti itu. Tiga versi pertama disebut KDE, sedangkan yang keempat disebut KDE Software Compilation 4. Nama terpisah, versi yang rentan adalah KDE 4 dan Plasma 5. Versi kelima dirilis pada tahun 2014, sehingga sulit bagi siapa pun untuk menggunakan KDE 4.
Bagaimanapun juga dan menunggu Komunitas KDE merilis tambalan yang sedang mereka kerjakan, untuk saat ini jangan percaya siapa pun yang mengirimi Anda file .desktop atau .directory. Ini adalah sesuatu yang harus selalu kita lakukan, tetapi sekarang dengan lebih banyak alasan. Saya percaya pada Komunitas KDE dan dalam beberapa hari semuanya akan terselesaikan.
