Si sono affrettati. E non siamo sorpresi. Martedì scorso, un investigatore della sicurezza ha pubblicato un falla di sicurezza in Plasma e lo ha fatto senza avvisare i suoi sviluppatori. Il gesto, brutto e cortesemente tenuto in faccia, lo ha fatto perché «Volevo solo lasciare uno 0 giorni prima del Defcon«Voglio dire, perché voleva ottenere un po 'di fama o di cui si parlava alla conferenza sulla sicurezza della Defcon. La comunità di KDE ha dovuto lavorare contro il tempo, ma ha già risolto il problema.
Come hanno pubblicato sui social network, le patch sono ora disponibili in KDE neon, mentre appariranno presto nei repository ufficiali di Ubuntu per i sistemi operativi basati su sistema Canonical che utilizzano l'ambiente grafico Plasma, come Kubuntu. Questo è un esempio perfetto che spiega uno dei differenze tra Kubuntu e KDE neon: I bug del plasma, di sicurezza o meno, sono corretti e disponibili prima in KDE neon, mentre gli utenti di Kubuntu devono aspettare che consegnino le patch a Canonical e le carica nei loro repository ufficiali.
La comunità di KDE risolve il problema di sicurezza di Plasma in circa 24 ore
Gli sviluppatori di KDE hanno corretto il bug che consentiva l'esecuzione di codice potenzialmente dannoso. L'aggiornamento è già in neon e apparirà a breve nella tua distribuzione.https://t.co/1v8bFsL8gC
- Comunità KDE (@kdecommunity) 7 Agosto 2019
Gli sviluppatori di KDE hanno corretto il bug che consentiva l'esecuzione di codice potenzialmente pericoloso. L'aggiornamento è già in neon e apparirà presto nella tua distribuzione.
Nonostante la patch sia già disponibile (neon) o lo sarà presto (repository ufficiali), la Comunità KDE ha pubblicato ieri sera le tre possibilità per applicarla manualmente:
- Aggiorna Frameworks alla versione 5.61. Frameworks 5.61 sarà ufficialmente rilasciato sabato prossimo, ma di solito ci vuole circa una settimana per raggiungere i repository ufficiali.
- Applicare la patch disponibile qui.
- Gli utenti di Kdlibs 4.14 dovrebbero fare domanda quest'altra patch.
- E una quarta opzione aggiunta dall'editore: pazienza. La cosa più semplice, considerando che l'errore può essere sfruttato solo se scarichiamo un file .desktop o .directory, è aspettare e applicare le patch da Discovery.
Come ci aspettavamo, KDE ha risposto. Da qui posso solo dire: grazie.