Када говоримо о плазми, бар једном серверу, то чинимо да бисмо испричали о свим предностима које нам нуде лепе, флуидне и пуне КДЕ радне површине, али данас морамо да дамо мање добрих вести. Како је сакупљено у ЗДНет, истраживач безбедности пронашао рањивост у плазми и објавио је доказ концепта који користи постојећу безбедносну ману у КДЕ оквиру. Тренутно нема доступног решења, осим привременог, у облику прогнозе коју је КДЕ заједница објавила на Твиттеру.
Први је први. Пре него што наставимо са чланком морамо да кажемо да КДЕ већ ради на отклањању недавно откривене сигурносне грешке. Још важније од сазнања да раде на решавању неуспеха је привремено решење које нам нуде: шта НЕ СМЕМО да преузмемо датотеке са наставком .десктоп или .дирецтори из непоузданих извора. Укратко, не морамо да радимо нешто што никада не бисмо смели, али овај пут са више разлога.
Како функционише откривена рањивост у плазми
Проблем је у томе како КДесктопФиле обрађује поменуте .десктоп и .дирецтори датотеке. Откривено је да се датотеке .десктоп и .дирецтори могу креирати помоћу злонамерни код који се може користити за покретање таквог кода на рачунару жртве. Када корисник плазме отвори КДЕ менаџер датотека да би приступио директоријуму у којем се те датотеке чувају, злонамерни код се покреће без интеракције корисника.
Са техничке стране, рањивост може се користити за чување команди љуске у оквиру стандардних уноса „Икона“ који се налазе у датотекама .десктоп и .дирецтори. Ко год је открио грешку, каже да је КДЕ «извршиће нашу наредбу кад год се датотека види".
Наведена грешка мале озбиљности - мора се користити социјални инжењеринг
Стручњаци за безбедност неуспех не сврставају у врло озбиљне, углавном зато што морамо да нас натерамо да преузмемо датотеку на наш рачунар. Не могу је класификовати као озбиљну јер су .десктоп и .дирецтори датотеке врло ретке, односно није нормално да их преузимамо преко Интернета. Имајући ово на уму, требало би да нас преваре да преузмемо датотеку са злонамерним кодом неопходним за искоришћавање ове рањивости.
Да би проценио све могућности, злонамерни корисник може компресовати датотеке у ЗИП или ТАР А када бисмо га отпаковали и прегледали садржај, злонамерни код би се покренуо без нашег примећивања. Даље, екплоит се може користити за преузимање датотеке на наш систем, а да ми с њим не комуницирамо.
Ко је открио фалус, Пеннер, није рекао КДЕ заједници јер "Углавном сам хтео да одем 0 дана пре Дефцона. Планирам да то пријавим, али проблем је више недостатак дизајна него стварна рањивост, упркос томе шта може учинити«. С друге стране, КДЕ заједница, што није изненађујуће, није била баш срећна што је грешка објављена пре него што им је саопште, али су се ограничили рекавши да «Били бисмо вам захвални ако бисте могли да контактирате сецурити@кде.орг пре него што јавно покренете екплоит како бисмо могли заједно да одлучимо о временском следу.".
Рањива плазма 5 и КДЕ 4
Они који сте нови у КДЕ-у знате да се графичко окружење зове Плазма, али није увек било тако. Прве три верзије звале су се КДЕ, док се четврта звала КДЕ Софтваре Цомпилатион 4. Одвојено име, осетљиве верзије су КДЕ 4 и Пласма 5. Пета верзија је објављена 2014. године, па је тешко да било ко користи КДЕ 4.
У сваком случају, и тренутно чекају да КДЕ заједница пусти закрпу на којој већ раде не верујте никоме ко вам пошаље датотеку .десктоп или .дирецтори. То је нешто што увек морамо да радимо, али сада са више разлога. Верујем у КДЕ заједницу и да ће за неколико дана све бити решено.
