Quando parliamo di Plasma, almeno un server, lo facciamo per raccontare tutti i vantaggi che ci offre il bellissimo, fluido e ricco di opzioni desktop di KDE, ma oggi dobbiamo dare notizie meno buone. Come raccolto in ZDNet, un ricercatore di sicurezza ha ha rilevato una vulnerabilità in Plasma e ha pubblicato un proof of concept che sfrutta la falla di sicurezza esistente nel framework KDE. Al momento non ci sono soluzioni disponibili, se non una temporanea sotto forma di previsione che la comunità di KDE ha pubblicato su Twitter.
Il primo è il primo. Prima di continuare con l'articolo dobbiamo dire che KDE sta già lavorando per correggere il difetto di sicurezza scoperto di recente. Ancora più importante che sapere che stanno lavorando per risolvere il fallimento è la soluzione temporanea che ci offrono: cosa NON dobbiamo fare altro che scaricare file con estensione .desktop o .directory da fonti inaffidabili. In breve, non dobbiamo fare qualcosa che non dovremmo mai fare, ma questa volta con una ragione in più.
Come funziona la vulnerabilità Plasma scoperta
Il problema sta nel modo in cui KDesktopFile gestisce i file .desktop e .directory menzionati. È stato scoperto che i file .desktop e .directory potevano essere creati con codice dannoso che potrebbe essere utilizzato per eseguire tale codice sul computer della vittima. Quando un utente Plasma apre il file manager di KDE per accedere alla directory in cui sono archiviati questi file, il codice dannoso viene eseguito senza l'interazione dell'utente.
Dal punto di vista tecnico, vulnerabilità può essere utilizzato per memorizzare i comandi della shell all'interno delle voci "Icon" standard che si trovano nei file .desktop e .directory. Chiunque abbia scoperto il bug dice che KDE «eseguirà il nostro comando ogni volta che il file viene visto«.
Bug elencato di bassa gravità: è necessario utilizzare l'ingegneria sociale
Gli esperti di sicurezza non classificano il fallimento come molto grave, principalmente perché dobbiamo farci scaricare il file sul nostro computer. Non possono classificarlo come serio perché i file .desktop e .directory sono molto rari, cioè non è normale per noi scaricarli da Internet. Con questo in mente, dovrebbero indurci a scaricare un file con il codice dannoso necessario per sfruttare questa vulnerabilità.
Per valutare tutte le possibilità, il un utente malintenzionato potrebbe comprimere i file in ZIP o TAR E una volta decompresso e visualizzato il contenuto, il codice dannoso veniva eseguito senza che ce ne accorgessimo. Inoltre, l'exploit potrebbe essere utilizzato per scaricare il file sul nostro sistema senza che noi interagiamo con esso.
Chi ha scoperto il fallo, Penner, non lo ha detto alla comunità KDE perché "Principalmente volevo solo lasciare uno 0 giorni prima del Defcon. Ho intenzione di segnalarlo, ma il problema è più un difetto di progettazione che una vera e propria vulnerabilità, nonostante ciò che può fare«. D'altra parte, la comunità KDE, non sorprende, non è stata molto contenta che un bug sia stato pubblicato prima che gli fosse comunicato, ma si sono limitate a dire che «Ti saremmo grati se potessi contattare security@kde.org prima di lanciare un exploit al pubblico in modo da poter decidere insieme una sequenza temporale.«.
Plasma vulnerabile 5 e KDE 4
Quelli di voi che non conoscono il mondo KDE sanno che l'ambiente grafico si chiama Plasma, ma non è sempre stato così. Le prime tre versioni erano chiamate KDE, mentre la quarta si chiamava KDE Software Compilation 4. Nome separato, le versioni vulnerabili sono KDE 4 e Plasma 5. La quinta versione è stata rilasciata nel 2014, quindi è difficile per chiunque utilizzare KDE 4.
In ogni caso, e in attesa che la comunità di KDE rilasci la patch su cui stanno già lavorando, per il momento non fidarti di chi ti invia un file .desktop o .directory. Questo è qualcosa che dobbiamo sempre fare, ma ora con più ragioni. Ho fiducia nella comunità KDE e che in pochi giorni tutto sarà risolto.
