Aquesta setmana, dimarts passat, un desenvolupador i investigador de seguretat va fer una cosa que sol ser motiu de crítica: trobar una vulnerabilitat i publicar-la abans d'informar a qui desenvolupa el programari. El desenvolupador era Penner i el programari en el que va trobar el fallada de seguretat era l'entorn gràfic Plasma del KDE Community. Si us pregunteu per què estem parlant en passat, ho fem perquè tot ha passat molt ràpid i KDE Community ja ha lliurat els pegats que corregeixen la sentència.
Però anem per parts: el problema està o estava en com gestiona KDesktopFile els fitxers .desktop i .directory. Penner va descobrir que es podien crear fitxers .desktop i .directory amb codi maliciós que podien usar-se per a executar aquest codi a l'ordinador d'una víctima. El codi s'arriba a executar si la interacció de l'usuari, més enllà que obrim el gestor de fitxers del KDE per accedir a directori on hem emmagatzemat el fitxer. Però que KDE ja hagi pujat els pegats no és l'única bona notícia.
La fallada de seguretat de Plasma no és massa perillós
Els investigadors de seguretat asseguren que la decisió recentment descobert en Plasma no és massa perillós. Tot i que és capaç de provocar danys importants, el perillós no és el que pugui fer, sinó el fàcil que sigui aconseguir fer mal. Perquè algú pugui explotar-lo, hauríem de descarregar l'arxiu .desktop o .directory, alguna cosa que, a causa del poc freqüents que són, és poc probable. De fet, diuen que perquè ho fem ens han de enganyar usant enginyeria social.
Pel que sembla, Penner volia arribar amb una mica «interessant» a l' Defcon, Una conferència de seguretat, i no hi va comunicar a KDE Community per arribar amb una vulnerabilitat 0day amb la qual presumir. KDE Community li va retreure el gest amb educació, limitant-se a dir que haurien agraït que abans l'hi comunicaran a ells per poder treballar junts en la solució.
KDE Community ja ha solucionat el problema
Però no els ha fet falta. Poc més d'un dia després que es publiqués la fallada de seguretat de Plasma ja havien creat i pujat el pegat als seus repositoris. En el moment d'escriure aquestes línies, els usuaris del KDE neó ja poden instal·lar el pegat des Discover, mentre que altres usuaris de Plasma podrem fer-ho aviat. Una minisèrie de dos capítols que finalitzarà en les properes hores.
