השבוע, ביום שלישי שעבר, מפתח וחוקר אבטחה עשה דבר שמרבה פעמים מתח עליו ביקורת: מצא פגיעות ולפרסם אותה לפני שיידע את המפתח על התוכנה. היזם היה פנר והתוכנה בה מצא את הפגם הביטחוני היה הסביבה הגרפית של פלזמה מקהילת KDE. אם אתה תוהה מדוע אנו מדברים בזמן עבר, אנו עושים זאת מכיוון שהכל קרה מהר מאוד וקהילת KDE כבר העבירה את התיקונים המתקנים את הבאג.
אבל בואו נלך בחלקים: הבעיה היא או הייתה כיצד KDesktopFile מנהל את .שולחן העבודה וקבצי הספריה. פנר גילה כי ניתן ליצור קבצי. Desktop ו- .directory באמצעות קוד זדוני שיכול לשמש להפעלת קוד זה במחשב של הקורבן. הקוד מבוצע ללא אינטראקציה של המשתמש, מעבר לפתיחת מנהל הקבצים של KDE כדי לגשת לספריה בה אחסנו את הקובץ. אך KDE כבר העלה את התיקונים אינן החדשות הטובות היחידות.
פגם ביטחוני בפלסמה אינו מסוכן מדי
ل חוקרי אבטחה טוענים כי פגם הפלזמה שהתגלה לאחרונה אינו מסוכן מדי. למרות שהוא מסוגל לגרום נזק משמעותי, מה שמסוכן הוא לא מה שהוא יכול לעשות, אלא כמה קל להיפגע. על מנת שמישהו ינצל אותו, עלינו להוריד את קובץ. שולחן העבודה או קובץ הספריה, דבר שבגלל כמה הם נדירים אינו סביר. למעשה, הם אומרים שכדי שנוכל לעשות זאת הם צריכים להערים עלינו באמצעות הנדסה חברתית.
ממראהו, פנר רצה להמציא משהו "מעניין" Defcon, ועידת אבטחה, ולא אמרה לקהילת KDE לבוא עם פגיעות של 0 יום להתרברב איתה. קהילת KDE קלקלה בנימוס את המחווה ואמרה רק שהם היו אסירי תודה אם היו מוסרים להם את זה תחילה כדי שיוכלו לעבוד יחד על הפיתרון.
קהילת KDE כבר תיקנה את הבעיה
אבל הם לא היו צריכים את זה. מעט יותר מיממה לאחר פרסום פגם האבטחה בפלזמה, הם כבר יצרו והעלו את התיקון למאגריהם. נכון לכתיבת שורות אלה, משתמשי ניאון KDE יכולים כעת להתקין את התיקון מ- Discover, בעוד שמשתמשי פלזמה אחרים יוכלו לעשות זאת בקרוב. מיני סדרה של שני פרקים שתסתיים בשעות הקרובות.
