Kiedy mówimy o Plazmie, przynajmniej jednym serwerze, robimy to, aby opowiedzieć o wszystkich korzyściach, jakie oferuje nam piękny, płynny i pełen opcji pulpitu KDE, ale dziś musimy przekazać mniej dobrych wiadomości. Jak zebrano w ZDNet, badacz bezpieczeństwa znalazł lukę w Plasma i opublikował dowód słuszności koncepcji wykorzystujący istniejącą lukę w zabezpieczeniach Framework KDE. W tej chwili nie ma innego rozwiązania niż tymczasowe w postaci prognozy opublikowanej przez społeczność KDE na Twitterze.
Pierwsza jest pierwszą. Zanim przejdziemy do dalszej części artykułu, musimy powiedzieć, że KDE już pracuje nad naprawieniem niedawno odkrytej luki w zabezpieczeniach. Jeszcze ważniejsze niż świadomość, że pracują nad rozwiązaniem awarii, jest tymczasowe rozwiązanie, które nam oferują: co NIE musimy pobierać plików z rozszerzeniem .desktop lub .directory z niewiarygodnych źródeł. Krótko mówiąc, nie musimy robić czegoś, czego nigdy nie powinniśmy robić, ale tym razem z większego powodu.
Jak działa odkryta luka w zabezpieczeniach Plazmy
Problem polega na tym, jak KDesktopFile obsługuje wspomniane pliki .desktop i .directory. Odkryto, że pliki .desktop i .directory można tworzyć za pomocą złośliwy kod, który mógłby zostać użyty do uruchomienia takiego kodu na komputerze ofiary. Kiedy użytkownik Plazmy otwiera menedżera plików KDE, aby uzyskać dostęp do katalogu, w którym przechowywane są te pliki, złośliwy kod działa bez interakcji użytkownika.
Od strony technicznej, podatność może służyć do przechowywania poleceń powłoki w standardowych wpisach „Icon” znajdujących się w plikach .desktop i .directory. Ktokolwiek odkrył błąd, powiedział, że KDE «wykona nasze polecenie za każdym razem, gdy plik zostanie wyświetlony".
Wymieniony błąd o niskim poziomie ważności - należy użyć inżynierii społecznej
Eksperci ds. Bezpieczeństwa nie klasyfikują awarii jako bardzo poważnej, głównie dlatego, że musimy zmusić nas do pobrania pliku na nasz komputer. Nie mogą zaklasyfikować tego jako poważnego, ponieważ pliki .desktop i .directory są bardzo rzadkie, to znaczy pobieranie ich przez Internet nie jest normalne. Mając to na uwadze, mają nas nakłonić do pobrania pliku ze złośliwym kodem niezbędnym do wykorzystania tej luki.
Aby ocenić wszystkie możliwości, plik złośliwy użytkownik może skompresować pliki w formacie ZIP lub TAR A kiedy rozpakowaliśmy go i przejrzeliśmy zawartość, złośliwy kod działał bez naszego powiadomienia. Ponadto exploit można wykorzystać do pobrania pliku do naszego systemu bez interakcji z nami.
Kto odkrył fallusa, Penner, nie powiedział o tym społeczności KDE dlatego "Przede wszystkim chciałem po prostu opuścić dzień przed Defconem. Planuję to zgłosić, ale problem jest bardziej błędem projektowym niż rzeczywistą luką, pomimo tego, co może zrobić«. Z drugiej strony, społeczność KDE, co nie jest zaskakujące, nie była zbyt zadowolona, że błąd został opublikowany, zanim im go przekazali, ale ograniczyli się do stwierdzenia, że «Będziemy wdzięczni za skontaktowanie się z security@kde.org przed publicznym udostępnieniem exploita, abyśmy mogli wspólnie ustalić harmonogram.".
Wrażliwa Plazma 5 i KDE 4
Ci z was, którzy są nowicjuszami w KDE, wiedzą, że środowisko graficzne nazywa się Plazma, ale nie zawsze tak było. Pierwsze trzy wersje nosiły nazwę KDE, a czwarta nosiła nazwę KDE Software Compilation 4. Oddzielna nazwa, podatnymi na ataki wersjami są KDE 4 i Plasma 5. Piąta wersja została wydana w 2014 roku, więc używanie KDE 4 jest trudne.
W każdym razie i czekamy, aż społeczność KDE wyda łatkę, nad którą już pracują nie ufaj nikomu, kto wyśle ci plik .desktop lub .directory. To jest coś, co zawsze musimy robić, ale teraz ma więcej powodów. Ufam społeczności KDE i że za kilka dni wszystko zostanie rozwiązane.
