Ovaj tjedan, prošlog utorka, programer i istraživač sigurnosti učinio je nešto što se često kritizira: pronađi ranjivost i objavite ga prije nego što obavijestite programera softvera. Programer je bio Penner i softver u kojem je pronašao sigurnosna mana bila je grafička okolina plazme iz KDE zajednice. Ako se pitate zašto razgovaramo u prošlom vremenu, mi to radimo jer se sve dogodilo vrlo brzo i KDE zajednica već je isporučila zakrpe koje ispravljaju bug.
Ali krenimo u dijelove: problem je ili je bio u načinu na koji KDesktopFile upravlja datotekom .desktop i .directory datoteke. Penner je otkrio da se datoteke .desktop i .directory mogu stvarati sa zlonamjernim kodom koji se može koristiti za pokretanje tog koda na računalu žrtve. Kôd se izvršava bez korisničke interakcije, osim otvaranja upravitelja datoteka KDE za pristup direktoriju u kojem smo datoteku pohranili. No to što je KDE već poslao zakrpe nije jedina dobra vijest.
Propust u sigurnosti plazme nije previše opasan
The Istraživači sigurnosti kažu kako nedavno otkrivena greška u plazmi nije previše opasna. Iako je sposoban nanijeti značajnu štetu, ono što je opasno nije ono što može učiniti, već koliko je lako ozlijediti se. Da bi je netko mogao iskoristiti, trebali bismo preuzeti datoteku .desktop ili .directory, što je malo vjerojatno zbog svoje rijetkosti. Zapravo, kažu da nas, da bismo to učinili, moraju nasamariti pomoću socijalnog inženjeringa.
Izgleda da je Penner želio smisliti nešto "zanimljivo" na DEFCON, sigurnosna konferencija, i nije rekao zajednici KDE da iznese 0-dnevnu ranjivost kojom se hvali. KDE zajednica pristojno je pokvarila gestu, rekavši samo da bi im bili zahvalni da su im to prvo priopćili kako bi mogli zajedno raditi na rješenju.
KDE zajednica već je riješila problem
Ali nisu im trebali. Nešto više od dana nakon što je objavljen sigurnosni propust u plazmi, oni su već stvorili i prenijeli zakrpu u svoja spremišta. Od ovog pisanja, KDE neonski korisnici sada mogu instalirati zakrpu s Discover-a, dok će drugi korisnici plazme to moći učiniti uskoro. Mini-serija od dva poglavlja koja će završiti u sljedećih nekoliko sati.
