Kur flasim për Plasma, të paktën një server, e bëjmë për të treguar në lidhje me të gjitha përfitimet që na ofron opsionet e desktopit të bukur, të rrjedhshëm dhe plot me KDE, por sot duhet të japim më pak lajme të mira. Siç është mbledhur në ZDNet, ka një studiues i sigurisë gjeti një dobësi në Plasma dhe ka botuar një provë të konceptit duke shfrytëzuar të metën ekzistuese të sigurisë në Kornizën KDE. Tani për tani nuk ka ndonjë zgjidhje të disponueshme, përveç një të përkohshme në formën e një parashikimi që Komuniteti KDE ka postuar në Twitter.
E para është e para. Para se të vazhdojmë me artikullin duhet të themi që KDE tashmë po punon për të rregulluar defektin e sigurisë të zbuluar së fundmi. Edhe më e rëndësishme se të dish se ata po punojnë për të zgjidhur dështimin është zgjidhja e përkohshme që ata na ofrojnë: çfarë Ne NUK duhet të bëjmë është të shkarkojmë skedarë me një zgjerim .desktop ose .directory nga burime jo të besueshme. Me pak fjalë, ne nuk kemi pse të bëjmë diçka që nuk duhet ta bëjmë kurrë, por këtë herë me më shumë arsye.
Si funksionon cenueshmëria e zbuluar e Plazmës
Problemi është se si KDesktopFile merret me skedarët e përmendur .desktop dhe .directory. Wasshtë zbuluar se skedarët .desktop dhe .directory mund të krijohen me të kod i dëmshëm që mund të përdoret për të ekzekutuar një kod të tillë në kompjuter të viktimës. Kur një përdorues i Plasma hap menaxherin e skedarëve KDE për të hyrë në direktorinë ku ruhen këto skedarë, kodi me qëllim të keq funksionon pa ndërveprimin e përdoruesit.
Nga ana teknike, cenueshmëria mund të përdoret për të ruajtur komandat shell brenda shënimeve standarde të "Ikonit" që gjenden në skedarët .desktop dhe .directory. Kushdo që zbuloi të metën thotë se KDE «do të ekzekutojë komandën tonë sa herë që skedari shihet".
Ashpër i ashpër i renditur në kod - duhet të përdoret inxhinieria sociale
Ekspertët e sigurisë ato nuk e klasifikojnë dështimin si shumë serioz, kryesisht sepse duhet të na shtyjmë të shkarkojmë skedarin në kompjuterin tonë. Ata nuk mund ta klasifikojnë atë si serioz sepse skedarët .desktop dhe .directory janë shumë të rrallë, domethënë nuk është normale që ne t'i shkarkojmë ato në internet. Duke pasur këtë në mendje, ata supozohet se do të na mashtrojnë për të shkarkuar një skedar me kodin dashakeq të nevojshëm për të shfrytëzuar këtë dobësi.
Për të vlerësuar të gjitha mundësitë, përdoruesi me qëllim të keq mund të kompresojë skedarët në ZIP ose TAR Dhe kur e heqim nga zinxhiri dhe shikonim përmbajtjen, kodi me qëllim të keq do të funksiononte pa e vërejtur ne. Për më tepër, shfrytëzimi mund të përdoret për të shkarkuar skedarin në sistemin tonë pa na bashkëvepruar me të.
Kush zbuloi phallus, Penner, nuk i tha Komunitetit KDE sepse "Kryesisht unë thjesht doja të lija një ditë përpara Defcon. Unë planifikoj ta raportoj, por çështja është më shumë një e metë në dizajn sesa një dobësi aktuale, pavarësisht nga ajo që mund të bëjë« Nga ana tjetër, Komuniteti KDE, çuditërisht, nuk ka qenë shumë i lumtur që një bug është botuar para se t'ua komunikojnë atyre, por ata janë kufizuar duke thënë se «Ne do të vlerësonim nëse mund të kontaktonit Security@kde.org përpara se të fillonit një shfrytëzim për publikun në mënyrë që të mund të vendosnim së bashku për një afat kohor.".
Plazma e ndjeshme 5 dhe KDE 4
Ata që jeni të ri në KDE e dinë që mjedisi grafik quhet Plazma, por nuk ishte gjithmonë kështu. Tri versionet e para u quajtën KDE, ndërsa i katërti u quajt Përpilimi i Programeve KDE 4. Emër i veçantë, Versione të prekshme janë KDE 4 dhe Plasma 5. Versioni i pestë u lëshua në 2014, kështu që është e vështirë për dikë që të përdorë KDE 4.
Në çdo rast, dhe duke pritur që KDE Komuniteti të lëshojë patch-in për të cilin tashmë po punon, për momentin mos i besoni askujt që ju dërgon një skedar .desktop ose .directory. Kjo është diçka që duhet ta bëjmë gjithmonë, por tani me më shumë arsye. Unë i besoj Komunitetit KDE dhe se për disa ditë gjithçka do të zgjidhet.
