Apabila kita bercakap mengenai Plasma, sekurang-kurangnya satu pelayan, kita melakukannya untuk memberitahu tentang semua faedah yang ditawarkan oleh desktop yang cantik, lancar dan penuh dengan KDE, tetapi hari ini kita harus memberikan berita yang kurang baik. Seperti yang dikumpulkan di ZDNet, penyelidik keselamatan mempunyai mendapati kelemahan dalam Plasma dan telah menerbitkan bukti konsep yang memanfaatkan kelemahan keselamatan yang ada dalam Kerangka KDE. Tidak ada penyelesaian yang tersedia sekarang, selain daripada sementara dalam bentuk ramalan yang telah disiarkan oleh Komuniti KDE di Twitter.
Yang pertama adalah yang pertama. Sebelum meneruskan artikel, kita harus mengatakan bahawa KDE sudah berusaha untuk memperbaiki kekurangan keselamatan yang baru ditemui. Yang lebih penting daripada mengetahui bahawa mereka berusaha untuk menyelesaikan kegagalan itu adalah penyelesaian sementara yang mereka tawarkan kepada kita: apa TIDAK perlu kita lakukan ialah memuat turun fail dengan sambungan .desktop atau .direktori dari sumber yang tidak boleh dipercayai. Pendek kata, kita tidak perlu melakukan sesuatu yang tidak semestinya kita lakukan, tetapi kali ini dengan lebih banyak alasan.
Bagaimana kerentanan Plasma yang ditemui berfungsi
Masalahnya adalah bagaimana KDesktopFile menangani fail .desktop dan .direktori yang disebutkan. Didapati bahawa fail .desktop dan .direktori dapat dibuat dengan kod jahat yang boleh digunakan untuk menjalankan kod tersebut di komputer mangsa. Apabila pengguna Plasma membuka pengurus fail KDE untuk mengakses direktori di mana fail-fail ini disimpan, kod jahat berjalan tanpa interaksi pengguna.
Dari segi teknikal, kerentanan boleh digunakan untuk menyimpan perintah shell dalam entri "Ikon" standard yang terdapat dalam fail .desktop dan .direktori. Sesiapa yang menemui bug mengatakan bahawa KDE «akan melaksanakan perintah kami setiap kali fail tersebut dilihat".
Bug yang disenaraikan dengan keparahan rendah - kejuruteraan sosial mesti digunakan
Pakar keselamatan mereka tidak mengklasifikasikan kegagalan itu sebagai sangat serius, terutamanya kerana kita harus membuat kita memuat turun fail di komputer kita. Mereka tidak dapat mengklasifikasikannya sebagai serius kerana fail .desktop dan .direktori sangat jarang berlaku, iaitu, tidak normal bagi kita untuk memuat turunnya melalui internet. Dengan ini, mereka seharusnya menipu kita untuk memuat turun fail dengan kod jahat yang diperlukan untuk mengeksploitasi kerentanan ini.
Untuk menilai semua kemungkinan, pengguna yang berniat jahat boleh memampatkan fail dalam ZIP atau TAR Dan apabila kami membuka zip dan melihat kandungannya, kod jahat akan berjalan tanpa kita perhatikan. Tambahan pula, eksploitasi dapat digunakan untuk memuat turun fail ke sistem kami tanpa kami berinteraksi dengannya.
Siapa yang menemui lingga, Penner, tidak memberitahu Komuniti KDE kerana "Terutamanya saya hanya mahu meninggalkan 0 hari sebelum Defcon. Saya merancang untuk melaporkannya, tetapi masalahnya lebih merupakan cacat reka bentuk daripada kerentanan yang sebenarnya, walaupun ia dapat dilakukan«. Sebaliknya, Komuniti KDE, tidak mengejutkan, tidak begitu gembira bahawa bug diterbitkan sebelum disampaikan kepada mereka, tetapi mereka telah membatasi diri untuk mengatakan bahawa «Kami sangat menghargai jika anda dapat menghubungi security@kde.org sebelum melancarkan eksploitasi kepada orang ramai sehingga kami dapat memutuskan bersama pada garis masa.".
Plasma Rentan 5 dan KDE 4
Anda yang baru mengenal KDE tahu bahawa persekitaran grafik dipanggil Plasma, tetapi tidak selalu seperti itu. Tiga versi pertama disebut KDE, sementara yang keempat disebut KDE Software Compilation 4. Nama terpisah, versi terdedah adalah KDE 4 dan Plasma 5. Versi kelima dikeluarkan pada tahun 2014, jadi sukar bagi siapa pun untuk menggunakan KDE 4.
Walau apa pun dan menunggu Komuniti KDE melepaskan patch yang sudah mereka kerjakan, buat masa ini jangan mempercayai sesiapa yang menghantar fail .desktop atau .direktori kepada anda. Ini adalah sesuatu yang mesti selalu kita lakukan, tetapi sekarang dengan lebih banyak alasan. Saya mempercayai Komuniti KDE dan bahawa dalam beberapa hari semuanya akan diselesaikan.
