Cette semaine, mardi dernier, un développeur et chercheur en sécurité a fait quelque chose qui est souvent critiqué: trouver une vulnérabilité et publiez-le avant d'informer le développeur du logiciel. Le développeur était Penner et le logiciel dans lequel il a trouvé le la faille de sécurité était l'environnement graphique Plasma de la communauté KDE. Si vous vous demandez pourquoi nous parlons au passé, nous le faisons car tout s'est passé très rapidement et la communauté KDE a déjà livré les correctifs qui corrigent le bogue.
Mais allons-y par parties: le problème est ou était dans la façon dont KDesktopFile gère le Fichiers .desktop et .directory. Penner a découvert que les fichiers .desktop et .directory pouvaient être créés avec un code malveillant pouvant être utilisé pour exécuter ce code sur l'ordinateur d'une victime. Le code est exécuté sans interaction de l'utilisateur, au-delà de l'ouverture du gestionnaire de fichiers KDE pour accéder au répertoire où nous avons stocké le fichier. Mais le fait que KDE ait déjà téléchargé les correctifs n'est pas la seule bonne nouvelle.
La faille de sécurité du plasma n'est pas trop dangereuse
Les Les chercheurs en sécurité disent que la faille de plasma récemment découverte n'est pas trop dangereuse. Bien qu'il soit capable de causer des dommages importants, ce qui est dangereux, ce n'est pas ce qu'il peut faire, mais la facilité avec laquelle il est blessé. Pour que quelqu'un puisse l'exploiter, nous devons télécharger le fichier .desktop ou .directory, ce qui, en raison de leur rareté, est peu probable. En fait, ils disent que pour que nous le fassions, ils doivent nous tromper en utilisant l'ingénierie sociale.
Apparemment, Penner voulait trouver quelque chose d '"intéressant" à la Defcon, une conférence sur la sécurité, et n'a pas dit à la communauté KDE de proposer une vulnérabilité 0day pour se vanter. La communauté KDE a poliment gâché le geste, disant seulement qu'ils auraient été reconnaissants de le leur avoir communiqué en premier afin qu'ils puissent travailler ensemble sur la solution.
La communauté KDE a déjà résolu le problème
Mais ils n'en ont pas eu besoin. Un peu plus d'un jour après la publication de la faille de sécurité Plasma, ils avaient déjà créé et téléchargé le correctif dans leurs référentiels. Au moment d'écrire ces lignes, Les utilisateurs de KDE neon peuvent désormais installer le correctif à partir de Discover, tandis que les autres utilisateurs de Plasma pourront le faire bientôt. Une mini-série en deux chapitres qui se terminera dans les prochaines heures.