在谈到Plasma(至少一台服务器)时,我们用它来讲述美丽,流畅和完整的KDE桌面选项为我们带来的所有好处,但是今天我们不得不少讲些好消息了。 如收集在 网易科技,一位安全研究员 在Plasma中发现一个漏洞 并发布了利用KDE框架中现有安全漏洞的概念证明。 目前,除了以KDE社区在Twitter上发布的预测形式的临时解决方案之外,目前没有可用的解决方案。
第一是第一。 在继续本文之前,我们必须说KDE已经在努力解决最近发现的安全漏洞。 比知道他们正在努力解决故障更重要的是,他们为我们提供了临时解决方案: 我们不必下载带有.desktop或.directory扩展名的文件 来自不可靠的来源。 简而言之,我们不必做一些我们不应该做的事情,但是这次是有更多理由的。
发现的等离子漏洞如何工作
问题在于KDesktopFile如何处理提到的.desktop和.directory文件。 发现可以使用以下命令创建.desktop和.directory文件: 可用于在计算机上运行此类代码的恶意代码 受害者。 当Plasma用户打开KDE文件管理器访问这些文件的存储目录时,恶意代码将在没有用户交互的情况下运行。
在技术方面,脆弱性 可以用来存储shell命令 在.desktop和.directory文件中找到的标准“ Icon”条目中。 凡发现此错误的人都说,KDE«只要看到文件就会执行我们的命令«。
低严重性列出的错误-必须使用社交工程
安全专家 他们没有将失败归为非常严重,主要是因为我们必须让我们将文件下载到计算机上。 他们无法将其归类为严重的,因为.desktop和.directory文件非常少见,也就是说,我们通过Internet下载它们是不正常的。 考虑到这一点,他们应该诱使我们下载带有利用此漏洞所需的恶意代码的文件。
为了评估所有可能性, 恶意用户可能会压缩ZIP或TAR中的文件 当我们将其解压缩并查看内容时,恶意代码将在没有我们注意的情况下运行。 此外,该漏洞可以被用来将文件下载到我们的系统上,而无需我们与之交互。
谁发现了阴茎, Penner,没有告诉KDE社区 因为 ”主要是我只想在Defcon之前离开0天。 我打算报告此问题,但是尽管它可以做什么,但问题更多是设计缺陷,而不是实际漏洞。«。 另一方面,毫不奇怪,KDE社区并不很高兴在将错误传达给他们之前就发布了一个错误,但是他们只是说:“如果您可以在向公众发布安全漏洞之前与我们联系security@kde.org,以便我们可以在时间表上共同做出决定,我们将不胜感激。«。
脆弱的等离子5和KDE 4
那些刚接触KDE的人都知道图形环境称为Plasma,但并非总是那样。 前三个版本称为KDE,而第四个版本称为KDE软件编译4。 易受攻击的版本是KDE 4和Plasma 5。 第五版于2014年发布,因此任何人都很难使用KDE 4。
无论如何,目前正在等待KDE社区发布他们已经在使用的补丁程序。 不要相信向您发送.desktop或.directory文件的任何人。 这是我们必须始终做的事情,但是现在有了更多的理由。 我相信KDE社区,几天之内一切都会解决。
