Коли ми говоримо про плазму, принаймні про один сервер, ми робимо це, щоб розповісти про всі переваги, які пропонує нам красива, плавна та наповнена опціями робочого столу KDE, але сьогодні ми повинні повідомити менше хороших новин. Як зібрано в ZDNet, має дослідник безпеки виявив уразливість у плазмі і опублікував доказ концепції, що використовує існуючий недолік безпеки в KDE Framework. На даний момент не існує жодного рішення, крім тимчасового, у вигляді прогнозу, який спільнота KDE опублікувала у Twitter.
Перший - перший. Перш ніж продовжувати статтю, ми повинні сказати, що KDE вже працює над виправленням нещодавно виявленої вади безпеки. Навіть важливіше, ніж знання того, що вони працюють над вирішенням несправності, - це тимчасове рішення, яке вони нам пропонують: що Ми НЕ повинні робити, це завантажувати файли з розширенням .desktop або .directory з ненадійних джерел. Коротше кажучи, нам не потрібно робити те, що нам ніколи не слід робити, але цього разу з більшою підставою.
Як працює виявлена вразливість у плазмі
Проблема полягає в тому, як KDesktopFile обробляє згадані файли .desktop та .directory. Було виявлено, що файли .desktop та .directory можна створювати за допомогою зловмисний код, який може бути використаний для запуску такого коду на комп'ютері жертви. Коли користувач плазми відкриває диспетчер файлів KDE для доступу до каталогу, де зберігаються ці файли, шкідливий код запускається без взаємодії користувача.
З технічної сторони - вразливість може використовуватися для зберігання команд оболонки у межах стандартних записів "Піктограма", знайдених у файлах .desktop та .directory. Хто виявив помилку, каже, що KDE «буде виконувати нашу команду щоразу, коли буде показано файл".
Помилка з низьким рівнем серйозності: потрібно використовувати соціальну інженерію
Експерти з безпеки вони не кваліфікують несправність як дуже серйозну, головним чином тому, що ми повинні змусити нас завантажити файл на наш комп’ютер. Вони не можуть класифікувати це як серйозне, оскільки .desktop та .directory файли дуже рідкісні, тобто для нас не нормально завантажувати їх через Інтернет. Маючи це на увазі, вони повинні змусити нас завантажити файл зі шкідливим кодом, необхідним для використання цієї вразливості.
Щоб оцінити всі можливості, зловмисний користувач може стискати файли у форматі ZIP або TAR І коли ми розпаковували його та переглядали вміст, шкідливий код запускався, не помічаючи цього. Крім того, експлойт може бути використаний для завантаження файлу в нашу систему без взаємодії з ним.
Хто відкрив фалос, Пеннер, не повідомив спільноти KDE тому що "В основному я просто хотів залишити 0 днів до Defcon. Я планую повідомити про це, але проблема полягає більше в недоліці дизайну, ніж у фактичній вразливості, незважаючи на те, що він може зробити«. З іншого боку, спільнота KDE, як не дивно, не дуже зраділа тому, що помилка була опублікована до того, як вони повідомили її, але вони обмежилися тим, що «Будемо вдячні, якщо ви зв’яжетесь із security@kde.org перед тим, як розпочати експлойт для громадськості, щоб ми могли спільно прийняти рішення щодо часової шкали.".
Вразлива плазма 5 та KDE 4
Ті, хто новачок у світі KDE, знають, що графічне середовище називається Плазма, але воно не завжди було таким. Перші три версії були названі KDE, тоді як четверта - KDE Software Compilation 4. Окреме ім'я, вразливі версії - KDE 4 та Plasma 5. П’ята версія вийшла у 2014 році, тому комусь важко користуватися KDE 4.
У будь-якому випадку, і чекає, поки спільнота KDE випустить виправлення, над яким вони вже працюють, на даний момент не довіряйте тим, хто надсилає вам файл .desktop або .directory. Це те, що ми повинні робити завжди, але тепер з більшою підставою. Я довіряю спільноті KDE і що за кілька днів все буде вирішено.
