Når vi snakker om Plasma, minst en server, gjør vi det for å fortelle om alle fordelene som de vakre, flytende og fulle av KDE-stasjonære alternativer gir oss, men i dag må vi gi mindre gode nyheter. Som samlet i ZDNet, har en sikkerhetsforsker fant en sårbarhet i plasma og har publisert et bevis på konseptet som utnytter den eksisterende sikkerhetsfeilen i KDE Framework. Akkurat nå er det ingen løsning tilgjengelig, bortsett fra en midlertidig løsning i form av en prognose som KDE Community har lagt ut på Twitter.
Den første er den første. Før vi fortsetter med artikkelen må vi si at KDE allerede jobber med å fikse den nylig oppdagede sikkerhetsfeilen. Enda viktigere enn å vite at de jobber for å løse feilen, er den midlertidige løsningen de tilbyr oss: hva Vi trenger IKKE å laste ned filer med .desktop eller .directory-utvidelse fra upålitelige kilder. Kort sagt, vi trenger ikke å gjøre noe som vi aldri skal gjøre, men denne gangen med mer grunn.
Hvordan den oppdagede plasmasårbarheten fungerer
Problemet er hvordan KDesktopFile håndterer de nevnte .desktop- og .directory-filene. Det ble oppdaget at .desktop- og .directory-filer kunne opprettes med skadelig kode som kan brukes til å kjøre slik kode på datamaskinen av offeret. Når en Plasma-bruker åpner KDE-filbehandling for å få tilgang til katalogen der disse filene er lagret, kjører den ondsinnede koden uten brukerinteraksjon.
På den tekniske siden, sårbarhet kan brukes til å lagre skallkommandoer innenfor standard "Ikon" -oppføringer som finnes i .desktop og .directory-filene. Den som oppdaget feilen sier at KDE «vil utføre kommandoen vår når filen blir sett".
Feil med lav alvorlighetsgrad - sosial engineering må brukes
Sikkerhetsekspertene de klassifiserer ikke feilen som veldig alvorlig, hovedsakelig fordi vi må få oss til å laste ned filen på datamaskinen vår. De kan ikke klassifisere det som seriøst fordi .desktop- og .directory-filer er veldig sjeldne, det vil si at det ikke er normalt for oss å laste dem ned over internett. Med dette i tankene skal de lure oss til å laste ned en fil med den ondsinnede koden som er nødvendig for å utnytte dette sikkerhetsproblemet.
For å vurdere alle mulighetene, er ondsinnet bruker kan komprimere filene i ZIP eller TAR Og når vi pakket den ut og så på innholdet, ville den ondsinnede koden kjøre uten at vi la merke til det. Videre kan utnyttelsen brukes til å laste ned filen til systemet vårt uten at vi kommuniserer med den.
Hvem oppdaget fallus, Penner, fortalte ikke KDE-samfunnet fordi "Hovedsakelig ville jeg bare gå en dag før Defcon. Jeg planlegger å rapportere det, men problemet er mer en designfeil enn en faktisk sårbarhet, til tross for hva den kan gjøre«. På den annen side har ikke KDE-samfunnet, overraskende nok, vært veldig glad for at en feil publiseres før de kommuniserer det til dem, men de har begrenset seg til å si at «Vi vil sette pris på om du kan kontakte security@kde.org før du lanserer en utnyttelse for publikum, slik at vi sammen kan bestemme en tidslinje.".
Sårbar plasma 5 og KDE 4
De av dere som er nye i KDE vet at det grafiske miljøet heter Plasma, men det var ikke alltid slik. De første tre versjonene ble kalt KDE, mens den fjerde ble kalt KDE Software Compilation 4. Separat navn, sårbare versjoner er KDE 4 og Plasma 5. Den femte versjonen ble utgitt i 2014, så det er vanskelig for noen å bruke KDE 4.
I alle fall, og venter på at KDE Community skal gi ut oppdateringen de allerede jobber med, for øyeblikket ikke stol på noen som sender deg en .desktop- eller .directory-fil. Dette er noe vi alltid må gjøre, men nå med mer grunn. Jeg stoler på KDE Community og at om noen få dager vil alt bli løst.
