Ove sedmice, prošlog utorka, programer i istraživač sigurnosti učinio je nešto što se često kritizira: pronađi ranjivost i objavite ga prije nego što obavijestite programera softvera. Programer je bio Penner i softver u kojem je pronašao sigurnosna mana bila je grafička okolina plazme iz KDE zajednice. Ako se pitate zašto razgovaramo u prošlom vremenu, mi to radimo jer se sve dogodilo vrlo brzo i KDE zajednica je već isporučila zakrpe koje ispravljaju grešku.
Ali krenimo po dijelovima: problem je ili je bio u tome kako KDesktopFile upravlja .desktop i .directory datoteke. Penner je otkrio da se datoteke .desktop i .directory mogu stvarati sa zlonamernim kodom koji se može koristiti za pokretanje tog koda na računaru žrtve. Kôd se izvršava bez interakcije korisnika, osim otvaranja KDE upravitelja datoteka za pristup direktoriju u kojem smo pohranili datoteku. Ali to što je KDE već poslao zakrpe nije jedina dobra vijest.
Propust u plazmi nije previše opasan
u Istraživači sigurnosti kažu da nedavno otkrivena greška u plazmi nije previše opasna. Iako je sposoban nanijeti značajnu štetu, ono što je opasno nije ono što može učiniti, već koliko je lako ozlijediti se. Da bi ga netko mogao iskoristiti, trebali bismo preuzeti .desktop ili .directory datoteku, nešto što je malo vjerojatno zbog svoje rijetkosti. U stvari, kažu da nas, da bismo to učinili, moraju nasamariti koristeći socijalni inženjering.
Izgleda da je Penner želio smisliti nešto "zanimljivo" na Defcon, sigurnosna konferencija, i nije rekao KDE zajednici da izloži 0-dnevnu ranjivost kojom se hvali. KDE zajednica uljudno je pokvarila gestu, rekavši samo da bi bili zahvalni da su im to ranije rekli kako bi mogli zajedno raditi na rješenju.
KDE zajednica je već riješila problem
Ali nisu im trebali. Nešto više od dana nakon što je objavljen sigurnosni propust u plazmi, oni su već kreirali i prenijeli zakrpu u svoja spremišta. Od ovog pisanja, KDE neonski korisnici sada mogu instalirati zakrpu s Discover-a, dok će drugi korisnici plazme to moći uskoro učiniti. Mini serija od dva poglavlja koja će završiti u narednih nekoliko sati.
