Kapag pinag-uusapan natin ang tungkol sa Plasma, hindi bababa sa isang server, ginagawa namin ito upang masabi ang tungkol sa lahat ng mga benepisyo na inaalok sa amin ng maganda, likido at puno ng mga pagpipilian sa desktop ng KDE, ngunit ngayon kailangan naming magbigay ng mas kaunting magandang balita. Tulad ng nakolekta sa ZDNet, isang security researcher natagpuan ang isang kahinaan sa Plasma at naglathala ng isang patunay ng konsepto na pinagsasamantalahan ang umiiral na kapintasan sa seguridad sa Framework ng KDE. Walang magagamit na solusyon sa ngayon, maliban sa isang pansamantalang isa sa anyo ng isang pagtataya na nai-post ng Komunidad ng KDE sa Twitter.
Ang una ay ang nauna. Bago magpatuloy sa artikulo kailangan nating sabihin na ang KDE ay nagtatrabaho na upang ayusin ang kamakailang natuklasang kapintasan sa seguridad. Kahit na mas mahalaga kaysa sa pag-alam na sila ay nagtatrabaho upang malutas ang pagkabigo ay ang pansamantalang solusyon na inaalok nila sa amin: ano HINDI namin kailangang gawin ay mag-download ng mga file na may isang .desktop o .directory extension mula sa hindi maaasahang mga mapagkukunan. Sa madaling salita, hindi namin kailangang gumawa ng isang bagay na hindi natin dapat gawin, ngunit sa oras na ito na may higit na kadahilanan.
Paano gumagana ang natuklasan na kahinaan sa Plasma
Ang problema ay sa kung paano hawakan ng KDesktopFile ang nabanggit na .desktop at .directory files. Natuklasan na ang .desktop at .directory file ay maaaring malikha kasama nakakahamak na code na maaaring magamit upang patakbuhin ang naturang code sa computer ng biktima. Kapag binuksan ng isang gumagamit ng Plasma ang file ng KDE file upang ma-access ang direktoryo kung saan nakaimbak ang mga file na ito, tatakbo ang nakakahamak na code nang walang pakikipag-ugnay ng gumagamit.
Sa panig na panteknikal, kahinaan maaaring magamit upang mag-imbak ng mga utos ng shell sa loob ng pamantayang "Icon" na mga entry na matatagpuan sa .desktop at .directory files. Sinumang natuklasan ang bug ay nagsabi na ang KDE «ay isasagawa ang aming utos sa tuwing nakikita ang file".
Mababang kalubhaan na nakalista sa bug - dapat gamitin ang social engineering
Ang mga eksperto sa seguridad hindi nila inuri ang kabiguan bilang napakaseryoso, higit sa lahat dahil kailangan naming makuha ang aming i-download ang file sa aming computer. Hindi nila ito maaaring uriin bilang seryoso dahil .desktop at .directory file ay napakabihirang, iyon ay, hindi normal para sa amin na i-download ang mga ito sa internet. Sa pag-iisip na ito, dapat nila kaming lokohin sa pag-download ng isang file na may nakakahamak na code na kinakailangan upang samantalahin ang kahinaan na ito.
Upang masuri ang lahat ng mga posibilidad, ang nakakapinsalang gumagamit ay maaaring siksikin ang mga file sa ZIP o TAR At kapag na-unzip namin ito at tiningnan ang nilalaman, tatakbo ang nakakahamak na code nang hindi namin napapansin. Bukod dito, ang pagsasamantala ay maaaring magamit upang i-download ang file sa aming system nang hindi kami nakikipag-ugnay dito.
Sino ang natuklasan ang phallus, Si Penner, ay hindi sinabi sa Komunidad ng KDE kasi "Higit sa lahat nais ko lang umalis ng isang 0day bago ang Defcon. Plano kong iulat ito, ngunit ang isyu ay higit pa sa isang depekto sa disenyo kaysa sa isang aktwal na kahinaan, sa kabila ng kung ano ang magagawa nito«. Sa kabilang banda, ang Komunidad ng KDE, na hindi nakakagulat, ay hindi nasisiyahan na ang isang bug ay nai-publish bago ito iparating sa kanila, ngunit nilimitahan nila ang kanilang sarili sa pagsasabi na «Mapahahalagahan namin kung maaari kang makipag-ugnay sa security@kde.org bago ilunsad ang isang pagsasamantala sa publiko upang makapagpasya kaming magkasama sa isang timeline.".
Vulnerable Plasma 5 at KDE 4
Ang mga bago sa mundo ng KDE ay alam na ang grapikong kapaligiran ay tinatawag na Plasma, ngunit hindi palaging ganoon. Ang unang tatlong bersyon ay tinawag na KDE, habang ang pang-apat ay tinawag na KDE Software Compilation 4. Paghiwalayin ang pangalan, ang mga mahina na bersyon ay ang KDE 4 at Plasma 5. Ang pang-limang bersyon ay inilabas noong 2014, kaya mahirap para sa sinuman na gumamit ng KDE 4.
Sa anumang kaso, at naghihintay para sa pakalabas ng Komunidad ng KDE ang patch na pinagtatrabahuhan na nila, sa sandaling ito huwag magtiwala sa sinumang magpapadala sa iyo ng .desktop o .directory file. Ito ay isang bagay na dapat nating palaging gawin, ngunit ngayon na may higit na dahilan. Tiwala ako sa Komunidad ng KDE at sa loob ng ilang araw malulutas ang lahat.
