Descubrieron un fallo de seguridad en Plasma, pero KDE lo ha solucionado en un abrir y cerrar de ojos

Plasma sin fallo de seguridad

Esta semana, el pasado martes, un desarrollador e investigador de seguridad hizo algo que suele ser motivo de crítica: encontrar una vulnerabilidad y publicarla antes de informar a quien desarrolla el software. El desarrollador era Penner y el software en el que encontró el fallo de seguridad era el entorno gráfico Plasma de KDE Community. Si os preguntáis por qué estamos hablando en pasado, lo hacemos porque todo ha pasado muy rápido y KDE Community ya ha entregado los parches que corrigen el fallo.

Pero vayamos por partes: el problema está o estaba en cómo gestiona KDesktopFile los archivos .desktop y .directory. Penner descubrió que se podían crear archivos .desktop y .directory con código malicioso que podían usarse para ejecutar dicho código en el ordenador de una víctima. El código se llega a ejecutar si la interacción del usuario, más allá de que abramos el gestor de archivos de KDE para acceder al directorio en donde hemos almacenado el archivo. Pero que KDE ya haya subido los parches no es la única buena noticia.

El fallo de seguridad de Plasma no es demasiado peligroso

Los investigadores de seguridad aseguran que el fallo recientemente descubierto en Plasma no es demasiado peligroso. Aunque es capaz de provocar daños importantes, lo peligroso no es lo que pueda hacer, sino lo fácil que sea conseguir hacer daño. Para que alguien pueda explotarlo, deberíamos descargar el archivo .desktop o .directory, algo que, debido a lo poco frecuentes que son, es poco probable. De hecho, dicen que para que lo hagamos nos tienen que engañar usando ingeniería social.

Por lo que parece, Penner quería llegar con algo “interesante” al Defcon, una conferencia de seguridad, y no se lo comunicó a KDE Community para llegar con una vulnerabilidad 0day con la que presumir. KDE Community le afeó el gesto con educación, limitándose a decir que habrían agradecido que antes se lo comunicaran a ellos para poder trabajar juntos en la solución.

KDE Community ya ha solucionado el problema

Pero no les ha hecho falta. Poco más de un día después de que se publicara el fallo de seguridad de Plasma ya habían creado y subido el parche a sus repositorios. En el momento de escribir estas líneas, los usuarios de KDE neon ya pueden instalar el parche desde Discover, mientras que otros usuarios de Plasma podremos hacerlo pronto. Una miniserie de dos capítulos que finalizará en las próximas horas.

Artículo relacionado:
Firefox se actualiza por segunda vez en una semana para corregir fallos de seguridad

Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.