Ezen a héten, múlt kedden egy fejlesztő és biztonsági kutató tett valamit, amit gyakran kritizálnak: megtalálni sebezhetőség és tegye közzé, mielőtt tájékoztatja a szoftver fejlesztőjét. A fejlesztő Penner volt, és az a szoftver, amelyben megtalálta a biztonsági hiba a plazma grafikus környezet volt a KDE közösségtől. Ha kíváncsi arra, miért beszélünk múlt időben, azért tesszük, mert minden nagyon gyorsan történt, és a KDE közösség már kiadta a hibát kijavító javításokat.
De folytassuk részletekben: a probléma az vagy volt, hogy a KDesktopFile hogyan kezeli a .desktop és .directory fájlok. Penner felfedezte, hogy a .desktop és a .directory fájlok rosszindulatú kódokkal hozhatók létre, amelyek felhasználhatók a kód futtatására az áldozat számítógépén. A kód felhasználói beavatkozás nélkül kerül végrehajtásra, azon túl, hogy megnyitja a KDE fájlkezelőt ahhoz a könyvtárhoz való hozzáféréshez, ahol a fájlt tároltuk. De hogy a KDE már feltölti a javításokat, ez nem az egyetlen jó hír.
A plazma biztonsági hiba nem túl veszélyes
sok Biztonsági kutatók szerint a nemrégiben felfedezett plazma hiba nem túl veszélyes. Bár képes jelentős károkat okozni, a veszély nem az, amit tehet, hanem az, hogy mennyire könnyű megsérülni. Annak érdekében, hogy valaki kihasználhassa, le kell töltenünk a .desktop vagy .directory fájlt, ami a ritkaságuk miatt nem valószínű. Valójában azt mondják, hogy ehhez nekünk trükközniük kell a szociális mérnöki eszközökkel.
Nyilván Penner valami érdekeset akart előállni a Defcon, egy biztonsági konferencián, és nem szólt a KDE közösségnek, hogy állítson elő egy 0 napos biztonsági rést, amellyel dicsekedni lehet. A KDE közösség udvariasan elrontotta a gesztust, csak annyit mondott, hogy hálásak lettek volna, ha először közlik velük, hogy együtt tudják dolgozni a megoldást.
A KDE közösség már megoldotta a problémát
De nincs rá szükségük. A Plasma biztonsági hiba közzététele után alig több mint egy nappal már létrehozták és feltöltötték a javítást a táraikba. Az írás kezdetén A KDE neon felhasználói most telepíthetik a javítást a Discoverből, míg a többi plazma felhasználó hamarosan megteheti. Két fejezetből álló minisorozat, amely a következő órákban fejeződik be.
