Minggu ini, Selasa lalu, seorang pengembang dan peneliti keamanan melakukan sesuatu yang sering dikritik: temukan kerentanan dan publikasikan sebelum memberi tahu pengembang perangkat lunak. Pengembangnya adalah Penner dan perangkat lunak tempat ia menemukan kelemahan keamanan adalah lingkungan grafis Plasma dari Komunitas KDE. Jika Anda bertanya-tanya mengapa kami berbicara dalam bentuk lampau, kami melakukannya karena semuanya telah terjadi dengan sangat cepat dan Komunitas KDE telah mengirimkan tambalan yang memperbaiki bug tersebut.
Tapi mari kita lanjutkan berdasarkan bagian: masalahnya adalah atau pada bagaimana KDesktopFile mengelola file File .desktop dan .directory. Penner menemukan bahwa file .desktop dan .directory dapat dibuat dengan kode berbahaya yang dapat digunakan untuk menjalankan kode tersebut di komputer korban. Kode dijalankan tanpa interaksi pengguna, selain membuka pengelola file KDE untuk mengakses direktori tempat kita menyimpan file. Tetapi KDE telah mengunggah tambalan tersebut bukan satu-satunya kabar baik.
Cacat keamanan plasma tidak terlalu berbahaya
Los Peneliti keamanan mengatakan cacat Plasma yang baru ditemukan tidak terlalu berbahaya. Meski mampu menyebabkan kerusakan yang signifikan, yang berbahaya bukanlah apa yang bisa dilakukannya, tetapi betapa mudahnya terluka. Agar seseorang dapat mengeksploitasinya, kita harus mengunduh file .desktop atau .directory, sesuatu yang, karena jarang terjadi, tidak mungkin terjadi. Faktanya, mereka mengatakan bahwa agar kami melakukannya, mereka harus menipu kami menggunakan manipulasi psikologis.
Rupanya Penner ingin memunculkan sesuatu yang "menarik" di Defcon, sebuah konferensi keamanan, dan tidak memberi tahu Komunitas KDE untuk datang dengan kerentanan 0 hari untuk dibanggakan. Komunitas KDE dengan sopan merusak isyarat tersebut, hanya mengatakan bahwa mereka akan berterima kasih jika mereka mengkomunikasikannya terlebih dahulu kepada mereka sehingga mereka dapat bekerja sama untuk mencari solusinya.
Komunitas KDE telah memperbaiki masalah tersebut
Tapi mereka tidak membutuhkannya. Sedikit lebih dari sehari setelah celah keamanan Plasma dipublikasikan, mereka telah membuat dan mengunggah tambalan ke repositori mereka. Saat tulisan ini dibuat, Pengguna KDE neon sekarang dapat menginstal patch dari Discover, sementara pengguna Plasma lainnya akan segera dapat melakukannya. Miniseri dua bab yang akan berakhir dalam beberapa jam ke depan.