Când vorbim despre Plasma, cel puțin un server, o facem pentru a povesti despre toate beneficiile pe care ni le oferă frumosul, fluidul și plin de opțiuni desktop KDE, dar astăzi trebuie să oferim mai puține vești bune. Așa cum este colectat în ZDNet, are un cercetător de securitate a găsit o vulnerabilitate în plasmă și a publicat o dovadă a conceptului care exploatează defectul de securitate existent în cadrul KDE. Nu există nicio soluție disponibilă în acest moment, în afară de una temporară sub forma unei prognoze pe care Comunitatea KDE a postat-o pe Twitter.
Primul este primul. Înainte de a continua cu articolul, trebuie să spunem că KDE lucrează deja la remedierea defectului de securitate recent descoperit. Chiar mai important decât să știm că lucrează pentru a rezolva eșecul este soluția temporară pe care ne-o oferă: ce NU trebuie să facem decât să descărcăm fișiere cu extensia .desktop sau .directory din surse nesigure. Pe scurt, nu trebuie să facem ceva ce nu ar trebui să facem niciodată, dar de data aceasta cu mai multe motive.
Cum funcționează vulnerabilitatea plasmatică descoperită
Problema este în modul în care KDesktopFile gestionează fișierele .desktop și .directory menționate. S-a descoperit că fișierele .desktop și .directory pot fi create cu cod rău intenționat care ar putea fi utilizat pentru a rula un astfel de cod pe computer a victimei. Când un utilizator Plasma deschide managerul de fișiere KDE pentru a accesa directorul în care sunt stocate aceste fișiere, codul rău intenționat rulează fără interacțiunea utilizatorului.
Din punct de vedere tehnic, vulnerabilitatea poate fi folosit pentru a stoca comenzi shell în cadrul intrărilor standard „Icon” găsite în fișierele .desktop și .directory. Cine a descoperit eroarea spune că KDE «va executa comanda noastră ori de câte ori este văzut fișierul“.
Eroare listată cu severitate redusă - trebuie folosită ingineria socială
Experții în securitate nu clasifică eșecul ca fiind foarte grav, în principal pentru că trebuie să ne determine să descărcăm fișierul pe computerul nostru. Nu o pot clasifica drept serioasă deoarece fișierele .desktop și .directory sunt foarte rare, adică nu este normal ca noi să le descărcăm pe internet. Având în vedere acest lucru, ar trebui să ne păcălească să descărcăm un fișier cu codul rău intenționat necesar pentru a exploata această vulnerabilitate.
Pentru a evalua toate posibilitățile, utilizatorul rău intenționat ar putea comprima fișierele în ZIP sau TAR Și când l-am dezarhivat și am vizualizat conținutul, codul rău intenționat va rula fără să ne dăm seama. În plus, exploit-ul ar putea fi folosit pentru a descărca fișierul pe sistemul nostru fără ca noi să interacționăm cu acesta.
Cine a descoperit falusul, Penner, nu a spus comunității KDE deoarece "În principal, am vrut doar să plec cu 0 zile înainte de Defcon. Am de gând să-l raportez, dar problema este mai degrabă un defect de proiectare decât o vulnerabilitate reală, în ciuda a ceea ce poate face«. Pe de altă parte, Comunitatea KDE, în mod surprinzător, nu a fost foarte fericită că un bug este publicat înainte de a fi comunicat acestora, dar s-au limitat să spună că «Am aprecia dacă ați putea contacta security@kde.org înainte de a lansa un exploit către public, astfel încât să putem decide împreună cu privire la o cronologie.“.
Plasma 5 și KDE 4 vulnerabile
Cei dintre voi noi la KDE știu că mediul grafic se numește plasmă, dar nu a fost întotdeauna așa. Primele trei versiuni se numeau KDE, în timp ce a patra se numea KDE Software Compilation 4. Nume separat, versiunile vulnerabile sunt KDE 4 și Plasma 5. A cincea versiune a fost lansată în 2014, deci este dificil pentru oricine să folosească KDE 4.
În orice caz și așteptând ca Comunitatea KDE să lanseze patch-ul la care lucrează deja, pentru moment nu aveți încredere în nimeni care vă trimite un fișier .desktop sau .directory. Acesta este un lucru pe care trebuie să îl facem întotdeauna, dar acum cu mai multe motive. Am încredere în Comunitatea KDE și că peste câteva zile totul va fi rezolvat.
