Als we het hebben over Plasma, tenminste één server, doen we dat om te vertellen over alle voordelen die de mooie, vloeiende en vol KDE-desktopopties ons bieden, maar vandaag hebben we minder goed nieuws te geven. Zoals verzameld in ZDNet, heeft een beveiligingsonderzoeker vond een kwetsbaarheid in Plasma en heeft een proof of concept gepubliceerd dat gebruik maakt van de bestaande beveiligingsfout in het KDE Framework. Op dit moment is er geen oplossing beschikbaar, behalve een tijdelijke oplossing in de vorm van een voorspelling die KDE Community op Twitter heeft gepost.
De eerste is de eerste. Voordat we verder gaan met het artikel, moeten we zeggen dat KDE al bezig is om de recent ontdekte beveiligingsfout op te lossen. Belangrijker nog dan te weten dat ze bezig zijn om de storing op te lossen, is de tijdelijke oplossing die ze ons bieden: wat We hoeven NIET te doen, is het downloaden van bestanden met de extensie .desktop of .directory uit onbetrouwbare bronnen. Kortom, we hoeven niet iets te doen dat we nooit zouden moeten doen, maar dit keer met meer reden.
Hoe de ontdekte kwetsbaarheid in Plasma werkt
Het probleem zit hem in de manier waarop KDesktopFile omgaat met de genoemde .desktop- en .directory-bestanden. Er werd ontdekt dat .desktop- en .directory-bestanden kunnen worden gemaakt met kwaadaardige code die kan worden gebruikt om dergelijke code op de computer uit te voeren van het slachtoffer. Wanneer een Plasma-gebruiker de KDE-bestandsbeheerder opent om toegang te krijgen tot de map waar deze bestanden zijn opgeslagen, wordt de kwaadaardige code uitgevoerd zonder tussenkomst van de gebruiker.
Aan de technische kant, kwetsbaarheid kan worden gebruikt om shell-opdrachten op te slaan binnen de standaard "Icon" -items in de .desktop- en .directory-bestanden. Degene die de bug heeft ontdekt, zegt dat KDE «zal onze opdracht uitvoeren wanneer het bestand wordt gezien".
Bug met lage ernst - social engineering moet worden gebruikt
De beveiligingsexperts zij classificeren de storing niet als zeer ernstig, vooral omdat we ons het bestand op onze computer moeten laten downloaden. Ze kunnen het niet als ernstig classificeren omdat .desktop- en .directory-bestanden zeer zeldzaam zijn, dat wil zeggen dat het voor ons niet normaal is om ze via internet te downloaden. Met dit in gedachten zouden ze ons moeten misleiden om een bestand te downloaden met de kwaadaardige code die nodig is om dit beveiligingslek te misbruiken.
Om alle mogelijkheden te beoordelen, de kwaadwillende gebruiker kan de bestanden comprimeren in ZIP of TAR En als we het uitpakten en de inhoud bekeken, zou de schadelijke code worden uitgevoerd zonder dat we het opmerkten. Bovendien kan de exploit worden gebruikt om het bestand naar ons systeem te downloaden zonder dat wij er interactie mee hebben.
Wie ontdekte de fallus, Penner, heeft het de KDE-gemeenschap niet verteld omdat "Ik wilde vooral gewoon 0 dagen voor Defcon vertrekken. Ik ben van plan het te rapporteren, maar het probleem is meer een ontwerpfout dan een daadwerkelijke kwetsbaarheid, ondanks wat het kan doen Aan de andere kant was de KDE-gemeenschap, niet verrassend, niet erg blij dat een bug werd gepubliceerd voordat deze aan hen werd meegedeeld, maar ze hebben gewoon gezegd dat «We zouden het op prijs stellen als u contact opneemt met security@kde.org voordat u een exploit voor het publiek lanceert, zodat we samen een tijdlijn kunnen bepalen.".
Kwetsbare Plasma 5 en KDE 4
Degenen onder u die nieuw zijn bij KDE weten dat de grafische omgeving Plasma wordt genoemd, maar dat is niet altijd zo geweest. De eerste drie versies heetten KDE, terwijl de vierde KDE Software Compilation 4 heette. Aparte naam, kwetsbare versies zijn KDE 4 en Plasma 5 De vijfde versie werd uitgebracht in 2014, dus het is voor iedereen moeilijk om KDE 4 te gebruiken.
In ieder geval, en wachtend op de KDE Community om de patch uit te brengen waar ze momenteel al aan werken vertrouw niemand die u een .desktop- of .directory-bestand stuurt Dit is iets dat we altijd moeten doen, maar nu met meer reden. Ik vertrouw de KDE-gemeenschap en dat alles binnen een paar dagen zal zijn opgelost.
