När vi pratar om Plasma, åtminstone en server, gör vi det för att berätta om alla fördelar som de vackra, flytande och fulla av KDE-skrivbordsalternativen erbjuder oss, men idag måste vi ge mindre goda nyheter. Som samlades in ZDNet, har en säkerhetsforskare hittade en sårbarhet i plasma och har publicerat ett bevis på koncept som utnyttjar det befintliga säkerhetsfelet i KDE Framework. Just nu finns det ingen lösning tillgänglig, förutom en tillfällig i form av en prognos som KDE-gemenskapen har lagt ut på Twitter.
Den första är den första. Innan vi fortsätter med artikeln måste vi säga att KDE redan arbetar för att åtgärda det nyligen upptäckta säkerhetsfelet. Ännu viktigare än att veta att de arbetar för att lösa misslyckandet är den tillfälliga lösningen de erbjuder oss: vad Vi behöver INTE göra att ladda ner filer med .desktop eller .directory-tillägg från opålitliga källor. Kort sagt, vi behöver inte göra något som vi aldrig ska göra, men den här gången med mer anledning.
Hur den upptäckta plasmabiliteten fungerar
Problemet ligger i hur KDesktopFile hanterar nämnda .desktop- och .directory-filer. Det upptäcktes att .desktop- och .directory-filer kunde skapas med skadlig kod som kan användas för att köra sådan kod på datorn av offret. När en Plasma-användare öppnar KDE-filhanteraren för att komma åt katalogen där dessa filer lagras, körs den skadliga koden utan användarinteraktion.
På den tekniska sidan, sårbarhet kan användas för att lagra skalkommandon inom standardikonen "Ikon" som finns i .desktop- och .directory-filerna. Den som upptäckte felet säger att KDE «kommer att utföra vårt kommando när filen ses".
Bugg med låg svårighetsgrad - socialteknik måste användas
Säkerhetsexperterna de klassificerar inte misslyckandet som mycket allvarligt, främst för att vi måste få oss att ladda ner filen på vår dator. De kan inte klassificera det som allvarligt eftersom .desktop- och .directory-filer är mycket sällsynta, det vill säga det är inte normalt för oss att ladda ner dem över internet. Med detta i åtanke ska de lura oss att ladda ner en fil med den skadliga koden som är nödvändig för att utnyttja denna sårbarhet.
För att bedöma alla möjligheter, skadlig användare kan komprimera filerna i ZIP eller TAR Och när vi packade upp det och tittade på innehållet skulle den skadliga koden köras utan att vi märkte det. Dessutom kan exploateringen användas för att ladda ner filen till vårt system utan att vi interagerar med den.
Vem upptäckte fallet, Penner, berättade inte för KDE-gemenskapen eftersom "Främst ville jag bara lämna en 0dag före Defcon. Jag planerar att rapportera det, men problemet är mer en designfel än en faktisk sårbarhet, trots vad den kan göra«. Å andra sidan har KDE-gemenskapen, inte förvånande, inte varit särskilt glad över att ett fel publiceras innan de meddelar det till dem, men de har begränsat sig till att säga att «Vi skulle uppskatta om du kunde kontakta security@kde.org innan du lanserar en exploatering för allmänheten så att vi tillsammans kan besluta om en tidslinje.".
Sårbar plasma 5 och KDE 4
De av er nya på KDE vet att den grafiska miljön heter Plasma, men det var inte alltid så. De första tre versionerna hette KDE, medan den fjärde hette KDE Software Compilation 4. Separat namn, sårbara versioner är KDE 4 och Plasma 5. Den femte versionen släpptes 2014, så det är svårt för någon att använda KDE 4.
I vilket fall som helst och väntar på att KDE Community ska släppa korrigeringsfilen som de redan arbetar med för tillfället lita inte på någon som skickar en .desktop- eller .directory-fil till dig. Det här är något vi alltid måste göra, men nu med mer anledning. Jag litar på KDE Community och att om några dagar kommer allt att lösas.
