Тази седмица, миналия вторник, разработчик и изследовател на сигурността направи нещо, което често се критикува: намери уязвимост и го публикувайте, преди да информирате разработчика на софтуера. Разработчик беше Penner и софтуерът, в който той намери недостатък в сигурността беше графичната среда на плазмата от KDE общността. Ако се чудите защо говорим в минало време, ние го правим, защото всичко се е случило много бързо и KDE общността вече е доставила корекциите, които коригират грешката.
Но нека да разгледаме частично: проблемът е или е бил в това как KDesktopFile управлява .desktop и .directory файлове. Пенър откри, че .desktop и .directory файлове могат да бъдат създадени със злонамерен код, който може да се използва за стартиране на този код на компютъра на жертвата. Кодът се изпълнява без взаимодействие с потребителя, освен отварянето на файловия мениджър на KDE за достъп до директорията, където сме съхранили файла. Но това, че KDE вече е качил корекциите, не е единствената добра новина.
Недостатъкът на плазмената сигурност не е твърде опасен
Лос Изследователите на сигурността казват, че наскоро откритият недостатък на плазмата не е твърде опасен. Въпреки че е способен да причини значителни щети, това, което е опасно, не е това, което може да направи, а колко лесно е да се нарани. За да може някой да го използва, трябва да изтеглим .desktop или .directory файл, нещо, което поради това, колко рядко са, е малко вероятно. Всъщност те казват, че за да го направим, те трябва да ни подлъжат, използвайки социалното инженерство.
От външния му вид, Пенър искаше да излезе с нещо "интересно" в Defcon, конференция по сигурността и не каза на KDE общността да излезе с 0-дневна уязвимост, с която да се похвали. Общността на KDE учтиво развали жеста, като каза само, че биха били благодарни, ако първо са им го съобщили, за да могат да работят заедно по решението.
KDE общността вече е решила проблема
Но те не са имали нужда от това. Малко повече от ден след публикуването на недостатъка на сигурността на плазмата, те вече бяха създали и качили пластира в своите хранилища. Към момента на писане, Потребителите на KDE neon вече могат да инсталират корекцията от Discover, докато други потребители на плазмата ще могат да го направят скоро. Минисериал от две глави, който ще приключи през следващите няколко часа.
