En az bir sunucu olan Plasma'dan bahsettiğimizde, bunu güzel, akıcı ve dolu KDE masaüstü seçeneklerinin bize sunduğu tüm faydaları anlatmak için yapıyoruz, ancak bugün daha az iyi haber vermemiz gerekiyor. Toplandığı gibi ZDNetbir güvenlik araştırmacısı, Plazma'da bir güvenlik açığı buldu ve KDE Çerçevesindeki mevcut güvenlik açığını kullanan bir kavram kanıtı yayınladı. Şu anda, KDE Topluluğunun Twitter'da yayınladığı tahmin şeklindeki geçici bir çözüm dışında hiçbir çözüm yok.
İlki ilk. Makaleye devam etmeden önce, KDE'nin yeni keşfedilen güvenlik açığını halihazırda düzeltmeye çalıştığını söylemeliyiz. Başarısızlığı çözmek için çalıştıklarını bilmekten daha da önemli olan, bize sundukları geçici çözümdür: .Desktop veya .directory uzantılı dosyaları indirmek zorunda YOKTUR güvenilmez kaynaklardan. Kısacası, asla yapmamamız gereken bir şeyi yapmak zorunda değiliz, ama bu sefer daha fazla sebeple.
Keşfedilen Plazma güvenlik açığı nasıl çalışır?
Sorun, KDesktopFile'ın belirtilen .desktop ve .directory dosyalarını nasıl işlediğidir. .Desktop ve .directory dosyalarının şu şekilde oluşturulabileceği keşfedildi: bilgisayarda bu tür bir kodu çalıştırmak için kullanılabilecek kötü amaçlı kod kurbanın. Bir Plasma kullanıcısı, bu dosyaların depolandığı dizine erişmek için KDE dosya yöneticisini açtığında, kötü amaçlı kod kullanıcı etkileşimi olmadan çalışır.
Teknik açıdan, güvenlik açığı kabuk komutlarını saklamak için kullanılabilir .desktop ve .directory dosyalarında bulunan standart "Simge" girişleri içinde. Hatayı keşfeden kişi KDE diyor «dosya her görüldüğünde komutumuzu yerine getirecek".
Düşük önem dereceli listelenmiş hata: sosyal mühendislik kullanılmalıdır
Güvenlik uzmanları başarısızlığı çok ciddi olarak sınıflandırmazlar, esas olarak dosyayı bilgisayarımıza indirmemizi sağladığımız için. Bunu ciddi olarak sınıflandıramazlar çünkü .desktop ve .directory dosyaları çok nadirdir, yani bunları internet üzerinden indirmemiz normal değildir. Bunu akılda tutarak, bu güvenlik açığından yararlanmak için gerekli olan kötü amaçlı kodun bulunduğu bir dosyayı indirmemiz için bizi kandırmaları gerekiyor.
Tüm olasılıkları değerlendirmek için, kötü niyetli kullanıcı dosyaları ZIP veya TAR biçiminde sıkıştırabilir Ve onu açıp içeriği görüntülediğimizde, kötü niyetli kod bizim farkına varmadan çalışırdı. Dahası, istismar, biz onunla etkileşime girmeden dosyayı sistemimize indirmek için kullanılabilir.
Fallusu kim keşfetti, Penner, KDE Topluluğuna söylemedi Çünkü "Esas olarak ben sadece Defcon'dan 0 gün önce ayrılmak istedim. Rapor etmeyi planlıyorum, ancak sorun, yapabileceklerine rağmen gerçek bir güvenlik açığından çok bir tasarım hatası.«. Öte yandan, KDE Topluluğu, şaşırtıcı olmayan bir şekilde, bir hatayı kendilerine iletmeden önce yayınlanmasından pek memnun olmadı, ancak kendilerini şunu söylemekle sınırladılar: «Halka açık bir istismar başlatmadan önce security@kde.org ile iletişime geçerseniz çok seviniriz, böylece bir zaman çizelgesi üzerinde birlikte karar verebiliriz.".
Savunmasız Plazma 5 ve KDE 4
KDE'de yeni olanlarınız, grafik ortamın Plazma olarak adlandırıldığını biliyor, ancak bu her zaman böyle değildi. İlk üç sürüm KDE, dördüncüsü ise KDE Yazılım Derlemesi olarak adlandırıldı. 4. Ayrı ad, savunmasız sürümler KDE 4 ve Plasma 5'tir. Beşinci sürüm 2014'te yayınlandı, bu nedenle KDE 4'ü kullanan herkes için zor.
Her halükarda ve KDE Topluluğunun şimdilik üzerinde çalıştıkları yamayı yayınlamasını bekliyorlar. size bir .desktop veya .directory dosyası gönderen hiç kimseye güvenmeyin. Bu her zaman yapmamız gereken bir şey, ama şimdi daha fazla sebeple. KDE Topluluğuna ve birkaç gün içinde her şeyin çözüleceğine güveniyorum.
