Tällä viikolla viime tiistaina kehittäjä ja tietoturvatutkija tekivät jotain, jota usein kritisoidaan: löytä haavoittuvuus ja julkaista se ennen ohjelmiston kehittäjälle ilmoittamista. Kehittäjä oli Penner ja ohjelmisto, josta hän löysi turvallisuusvirhe oli plasman graafinen ympäristö KDE-yhteisöltä. Jos ihmettelet, miksi puhumme menneessä ajassa, teemme sen, koska kaikki on tapahtunut hyvin nopeasti ja KDE-yhteisö on jo toimittanut virheitä korjaavat korjaustiedostot.
Mutta mennään osittain: ongelma on tai oli siinä, miten KDesktopFile hallitsee .desktop- ja .hakemistotiedostot. Penner huomasi, että .desktop- ja .directory-tiedostot voidaan luoda haitallisella koodilla, jota voidaan käyttää koodin suorittamiseen uhrin tietokoneella. Koodi suoritetaan ilman käyttäjän väliintuloa, KDE-tiedostonhallinnan avaamisen lisäksi hakemistoon, johon olemme tallentaneet tiedoston. Mutta se, että KDE on jo ladannut korjaustiedostot, ei ole ainoa hyvä uutinen.
Plasman turvallisuusvirhe ei ole liian vaarallinen
Los Turvallisuustutkijoiden mukaan äskettäin löydetty plasmavirhe ei ole liian vaarallinen. Vaikka se pystyy aiheuttamaan merkittäviä vahinkoja, vaarallinen ei ole se, mitä se voi tehdä, vaan kuinka helppoa on loukkaantua. Jotta joku voisi hyödyntää sitä, meidän on ladattava .desktop- tai .directory-tiedosto, mikä on epätodennäköistä niiden harvinaisuuden vuoksi. Itse asiassa he sanovat, että jotta voimme tehdä niin, heidän on huijata meitä sosiaalisen suunnittelun avulla.
Ulkonäöltään Penner halusi keksiä jotain "mielenkiintoista" Defcon, turvakonferenssi, eikä käskenyt KDE-yhteisöä keksimään 0 päivän haavoittuvuutta, josta kerskailla. KDE-yhteisö pilasi kohteliaasti kohteliaasti sanoen vain, että he olisivat olleet kiitollisia, jos he olisivat ilmoittaneet siitä ensin heille, jotta he voisivat työskennellä yhdessä ratkaisun löytämiseksi.
KDE-yhteisö on jo korjannut ongelman
Mutta he eivät ole tarvinneet sitä. Hieman yli päivä Plasman tietoturva-aukon julkaisemisen jälkeen he olivat jo luoneet ja ladanneet korjaustiedoston arkistoihinsa. Tämän kirjoituksen jälkeen KDE: n neon-käyttäjät voivat nyt asentaa korjaustiedoston Discoverista, kun taas muut plasman käyttäjät voivat tehdä sen pian. Kahden luvun minisarja, joka päättyy muutamassa tunnissa.