Denne uge sidste tirsdag gjorde en udvikler og sikkerhedsforsker noget, der ofte kritiseres: find en sårbarhed og udgiv det, inden du informerer udvikleren om softwaren. Udvikleren var Penner og den software, hvor han fandt sikkerhedsfejl var det grafiske miljø i plasma fra KDE Community. Hvis du spekulerer på, hvorfor vi taler i fortid, gør vi det, fordi alt er sket meget hurtigt, og KDE Community har allerede leveret de programrettelser, der retter fejlen.
Men lad os gå efter dele: problemet er eller var i, hvordan KDesktopFile administrerer .desktop og .directory filer. Penner opdagede, at .desktop- og .directory-filer kunne oprettes med ondsindet kode, der kunne bruges til at køre denne kode på offerets computer. Koden udføres uden brugerinteraktion ud over at åbne KDE-filhåndtering for at få adgang til det bibliotek, hvor vi har gemt filen. Men at KDE allerede har uploadet programrettelserne er ikke den eneste gode nyhed.
Plasmasikkerhedsfejl er ikke for farlig
masse Sikkerhedsforskere siger, at den nyligt opdagede plasmafejl ikke er for farlig. Selvom det er i stand til at forårsage betydelig skade, er det ikke farligt, hvad det kan gøre, men hvor let det er at komme til skade. For at nogen kan udnytte den, skal vi downloade .desktop eller .directory-filen, noget som på grund af hvor sjældne de er usandsynligt. Faktisk siger de, at for at vi skal gøre det, skal de narre os ved hjælp af social engineering.
Tilsyneladende ønskede Penner at komme med noget "interessant" på Defcon, en sikkerhedskonference og fortalte ikke KDE-samfundet at komme med en 0-dages sårbarhed at prale med. KDE-samfund forkælet høfligt gesten og sagde kun, at de ville have været taknemmelige, hvis de først havde meddelt det til dem, så de kunne arbejde sammen om løsningen.
KDE Community har allerede løst problemet
Men de har ikke brug for det. Lidt mere end en dag efter, at Plasma-sikkerhedsfejlen blev offentliggjort, havde de allerede oprettet og uploadet programrettelsen til deres arkiver. I skrivende stund KDE-neonbrugere kan nu installere programrettelsen fra Discover, mens andre Plasma-brugere kan gøre det snart. En to-kapitel miniserie, der slutter i de næste par timer.
