Sel nädalal, eelmisel teisipäeval, tegi arendaja ja turvalisuse uurija midagi, mida sageli kritiseeritakse: leidke haavatavus ja avaldage see enne tarkvara arendaja teavitamist. Arendajaks oli Penner ja tarkvara, millest ta leidis turvalisuse viga oli Plasma graafiline keskkond KDE kogukonnast. Kui te ei tea, miks me räägime minevikus, siis teeme seda, sest kõik on juhtunud väga kiiresti ja KDE kogukond on juba vea parandanud plaastrid kätte andnud.
Kuid jätkame osade kaupa: probleem on või oli selles, kuidas KDesktopFile haldab .desktop ja .directory failid. Penner avastas, et .desktop- ja .directory-faile saab luua pahatahtliku koodiga, mida saab kasutada selle koodi käitamiseks ohvri arvutis. Kood käivitatakse ilma kasutaja sekkumiseta, lisaks KDE failihalduri avamisele, et pääseda juurde kataloogi, kuhu oleme faili salvestanud. Kuid see, et KDE on plaastrid juba üles laadinud, pole ainus hea uudis.
Plasma turvaviga ei ole liiga ohtlik
osa Turvauurijate sõnul pole hiljuti avastatud Plasma viga liiga ohtlik. Ehkki see on võimeline märkimisväärset kahju tekitama, pole oht see, mida ta teha saab, vaid see, kui lihtne on haiget saada. Selleks, et keegi seda ära kasutaks, peaksime alla laadima .desktop või .directory faili, mis on selle harulduse tõttu ebatõenäoline. Tegelikult ütlevad nad, et selleks peame meid sotsiaalse inseneri abil petma.
Ilmselt tahtis Penner välja mõelda midagi huvitavat Defcon, turvakonverents ja ei käskinud KDE kogukonnal tulla välja 0-päevase haavatavusega, millega kiidelda. KDE kogukond rikkus seda žesti viisakalt, öeldes vaid, et nad oleksid olnud tänulikud, kui oleksid sellest kõigepealt neile teatanud, et nad saaksid lahenduse kallal koos töötada.
KDE kogukond on probleemi juba lahendanud
Kuid neil pole seda vaja läinud. Veidi rohkem kui päev pärast Plasma turvavea avaldamist olid nad plaastri juba loonud ja oma hoidlatesse üles laadinud. Sellest kirjutamisest alates KDE neoonkasutajad saavad nüüd plaastri Discoverist installida, teised Plasma kasutajad saavad seda varsti teha. Kahe peatüki minisari, mis lõpeb mõne tunni jooksul.
