Αυτή την εβδομάδα, την περασμένη Τρίτη, ένας προγραμματιστής και ένας ερευνητής ασφαλείας έκαναν κάτι που συχνά επικρίνεται: εύρεση μια ευπάθεια και δημοσιεύστε το πριν ενημερώσετε τον προγραμματιστή για το λογισμικό. Ο προγραμματιστής ήταν ο Penner και το λογισμικό στο οποίο βρήκε το ελάττωμα ασφαλείας ήταν το γραφικό περιβάλλον του Plasma από την Κοινότητα KDE. Αν αναρωτιέστε γιατί μιλάμε στο παρελθόν, το κάνουμε γιατί όλα έχουν συμβεί πολύ γρήγορα και η Κοινότητα KDE έχει ήδη παραδώσει τα διορθωτικά που διορθώνουν το σφάλμα.
Αλλά ας πάμε εν μέρει: το πρόβλημα είναι ή ήταν στον τρόπο με τον οποίο το KDesktopFile διαχειρίζεται το αρχεία .desktop και .direktori. Ο Penner ανακάλυψε ότι τα αρχεία .desktop και .direktori θα μπορούσαν να δημιουργηθούν με κακόβουλο κώδικα που θα μπορούσε να χρησιμοποιηθεί για την εκτέλεση αυτού του κώδικα στον υπολογιστή του θύματος. Ο κώδικας εκτελείται χωρίς αλληλεπίδραση με τον χρήστη, πέρα από το άνοιγμα του διαχειριστή αρχείων KDE για πρόσβαση στον κατάλογο όπου έχουμε αποθηκεύσει το αρχείο. Αλλά ότι το KDE έχει ήδη ανεβάσει τα patches δεν είναι τα μόνα καλά νέα.
Το ελάττωμα ασφαλείας στο πλάσμα δεν είναι πολύ επικίνδυνο
Ο Οι ερευνητές ασφαλείας λένε ότι το πρόσφατα ανακαλυφθέν ελάττωμα στο πλάσμα δεν είναι πολύ επικίνδυνο. Αν και είναι ικανό να προκαλέσει σημαντική ζημιά, αυτό που είναι επικίνδυνο δεν είναι αυτό που μπορεί να κάνει, αλλά πόσο εύκολο είναι να τραυματιστεί. Για να το εκμεταλλευτεί κάποιος, πρέπει να κατεβάσουμε το αρχείο .desktop ή .directory, κάτι που, λόγω του πόσο σπάνια είναι, είναι απίθανο. Στην πραγματικότητα, λένε ότι για να το κάνουμε πρέπει να μας ξεγελάσουν χρησιμοποιώντας την κοινωνική μηχανική.
Από την εμφάνιση του, ο Πέννερ ήθελε να βρει κάτι "ενδιαφέρον" στο Defcon, μια διάσκεψη ασφαλείας και δεν είπε στην κοινότητα KDE να βρει μια ευπάθεια 0 ημερών για να καυχηθεί. Η κοινότητα του KDE χαλάρωσε ευγενικά τη χειρονομία, λέγοντας μόνο ότι θα ήταν ευγνώμονες αν την είχαν κοινοποιήσει πρώτα για να μπορέσουν να συνεργαστούν για τη λύση.
Η Κοινότητα KDE έχει ήδη διορθώσει το πρόβλημα
Αλλά δεν το χρειάζονταν. Λίγο περισσότερο από μια ημέρα μετά τη δημοσίευση του ελαττώματος ασφαλείας του Plasma, είχαν ήδη δημιουργήσει και ανεβάσει την ενημέρωση κώδικα στα αποθετήρια τους. Από αυτό το γράψιμο, Οι χρήστες νέον KDE μπορούν πλέον να εγκαταστήσουν την ενημέρωση κώδικα από το Discover, ενώ άλλοι χρήστες του Plasma θα μπορούν να το κάνουν σύντομα. Μίνι σειρές δύο κεφαλαίων που θα λήξουν τις επόμενες ώρες.