Diese Woche, letzten Dienstag, hat ein Entwickler und Sicherheitsforscher etwas getan, das oft kritisiert wird: Finden eine Schwachstelle und veröffentlichen Sie es, bevor Sie den Entwickler über die Software informieren. Der Entwickler war Penner und die Software, in der er die fand Sicherheitslücke war die grafische Umgebung von Plasma von der KDE Community. Wenn Sie sich fragen, warum wir in der Vergangenheitsform sprechen, tun wir dies, weil alles sehr schnell gegangen ist und die KDE-Community bereits die Patches geliefert hat, die den Fehler beheben.
Aber lassen Sie uns nach Teilen gehen: Das Problem ist oder war, wie KDesktopFile das verwaltet .desktop- und .directory-Dateien. Penner entdeckte, dass .desktop- und .directory-Dateien mit bösartigem Code erstellt werden können, mit dem dieser Code auf dem Computer eines Opfers ausgeführt werden kann. Der Code wird ohne Benutzerinteraktion ausgeführt, über das Öffnen des KDE-Dateimanagers hinaus, um auf das Verzeichnis zuzugreifen, in dem wir die Datei gespeichert haben. Aber dass KDE die Patches bereits hochgeladen hat, ist nicht die einzige gute Nachricht.
Plasma Sicherheitslücke ist nicht zu gefährlich
Die Sicherheitsforscher sagen, dass der kürzlich entdeckte Plasmafehler nicht zu gefährlich ist. Obwohl es in der Lage ist, erheblichen Schaden zu verursachen, ist es nicht gefährlich, was es tun kann, sondern wie leicht es ist, verletzt zu werden. Damit jemand es ausnutzen kann, sollten wir die .desktop- oder .directory-Datei herunterladen, was aufgrund der Seltenheit unwahrscheinlich ist. Tatsächlich sagen sie, dass sie uns dazu mit Social Engineering austricksen müssen, damit wir dies tun können.
So wie es aussieht, wollte Penner sich etwas "Interessantes" einfallen lassen Defcon, eine Sicherheitskonferenz, und hat der KDE-Community nicht gesagt, dass sie eine 0-Tage-Sicherheitslücke finden soll, mit der sie angeben kann. Die KDE-Community hat die Geste höflich verdorben und nur gesagt, dass sie dankbar gewesen wären, wenn sie sie ihnen zuerst mitgeteilt hätten, damit sie gemeinsam an der Lösung arbeiten könnten.
Die KDE Community hat das Problem bereits behoben
Aber sie haben es nicht gebraucht. Etwas mehr als einen Tag nach Veröffentlichung der Plasma-Sicherheitslücke hatten sie den Patch bereits erstellt und in ihre Repositories hochgeladen. Zum Zeitpunkt dieses Schreibens KDE-Neon-Benutzer können den Patch jetzt über Discover installieren, während andere Plasma-Benutzer dies bald tun können. Eine Miniserie mit zwei Kapiteln, die in den nächsten Stunden endet.
