少なくともXNUMX台のサーバーであるPlasmaについて話すときは、美しく、流動的で、KDEデスクトップオプションが豊富なことで得られるすべての利点について説明しますが、今日はあまり良いニュースを提供する必要はありません。 で収集されたように ZDNetの、セキュリティ研究者は Plasmaに脆弱性が見つかりました また、KDEFrameworkの既存のセキュリティ上の欠陥を悪用した概念実証を公開しています。 現在、KDEコミュニティがTwitterに投稿した予測という形での一時的な解決策を除いて、利用可能な解決策はありません。
最初は最初です。 記事を続ける前に、KDEは最近発見されたセキュリティ上の欠陥を修正するためにすでに取り組んでいると言わなければなりません。 彼らが失敗を解決するために働いていることを知ることよりもさらに重要なのは、彼らが私たちに提供する一時的な解決策です。 拡張子が.desktopまたは.directoryのファイルをダウンロードする必要はありません。 信頼できないソースから。 要するに、私たちは決してやるべきではないことをする必要はありませんが、今回はもっと理由があります。
発見されたプラズマの脆弱性はどのように機能するか
問題は、KDesktopFileが前述の.desktopファイルと.directoryファイルをどのように処理するかにあります。 .desktopファイルと.directoryファイルは次のコマンドで作成できることが発見されました。 コンピュータ上でそのようなコードを実行するために使用される可能性のある悪意のあるコード 犠牲者の。 PlasmaユーザーがKDEファイルマネージャーを開いてこれらのファイルが保存されているディレクトリにアクセスすると、悪意のあるコードはユーザーの操作なしで実行されます。
技術面では、脆弱性 シェルコマンドを保存するために使用できます .desktopファイルと.directoryファイルにある標準の「アイコン」エントリ内。 バグを発見した人は誰でもKDE«ファイルが表示されるたびにコマンドを実行します"
重大度の低いリストされたバグ-ソーシャルエンジニアリングを使用する必要があります
セキュリティの専門家 彼らは失敗を非常に深刻なものとして分類していません、主にコンピュータにファイルをダウンロードする必要があるためです。 .desktopファイルと.directoryファイルは非常にまれであるため、深刻なものとして分類することはできません。つまり、インターネット経由でダウンロードすることは通常ではありません。 これを念頭に置いて、彼らは私たちをだまして、この脆弱性を悪用するために必要な悪意のあるコードを含むファイルをダウンロードさせることになっています。
すべての可能性を評価するために、 悪意のあるユーザーがZIPまたはTARでファイルを圧縮する可能性があります そして、それを解凍してコンテンツを表示すると、悪意のあるコードが気付かずに実行されていました。 さらに、このエクスプロイトを使用して、ファイルを操作せずにシステムにファイルをダウンロードすることができます。
男根を発見したのは誰ですか ペナー、KDEコミュニティに伝えなかった なぜなら「主に私はデフコンの0日前に出発したかっただけです。 報告する予定ですが、何ができるのかというと、実際の脆弱性というよりは設計上の欠陥です。«。 一方、KDEコミュニティは、当然のことながら、バグが公開される前に公開されることにあまり満足していませんが、単に「エクスプロイトを公開する前にsecurity@kde.orgに連絡して、タイムラインで一緒に決定できるようにしていただければ幸いです。"
脆弱なプラズマ5とKDE4
KDEを初めて使用する方は、グラフィック環境がプラズマと呼ばれることを知っていますが、必ずしもそうとは限りませんでした。 最初の4つのバージョンはKDEと呼ばれ、XNUMX番目のバージョンはKDE Software CompilationXNUMXと呼ばれていました。 脆弱なバージョンはKDE4とPlasma5です。 2014番目のバージョンは4年にリリースされたため、誰もがKDEXNUMXを使用することは困難です。
いずれにせよ、今のところ、KDEコミュニティがすでに取り組んでいるパッチをリリースするのを待っています .desktopまたは.directoryファイルを送信する人を信用しないでください。 これは私たちが常にしなければならないことですが、今ではもっと理由があります。 私はKDEコミュニティを信頼しており、数日ですべてが解決されると信じています。