今週、先週の火曜日、開発者とセキュリティ研究者はしばしば批判される何かをしました:見つける 脆弱性 ソフトウェアの開発者に通知する前に公開してください。 開発者はPennerであり、彼が見つけたソフトウェアは セキュリティ上の欠陥はPlasmaのグラフィカル環境でした KDEコミュニティから。 過去形で話している理由がわからない場合は、すべてが非常に迅速に行われ、KDEコミュニティがバグを修正するパッチをすでに提供しているためです。
しかし、部分的に見ていきましょう。問題は、KDesktopFileがどのように管理するかということです。 .desktopおよび.directoryファイル。 Pennerは、被害者のコンピューターでそのコードを実行するために使用される可能性のある悪意のあるコードを使用して、.desktopファイルと.directoryファイルが作成される可能性があることを発見しました。 コードは、KDEファイルマネージャーを開いてファイルを保存したディレクトリにアクセスする以外に、ユーザーの操作なしで実行されます。 しかし、KDEがすでにパッチをアップロードしていることだけが良いニュースではありません。
プラズマセキュリティの欠陥はそれほど危険ではありません
たくさん セキュリティ研究者は、最近発見されたプラズマの欠陥はそれほど危険ではないと言います。 それは重大な損傷を引き起こす可能性がありますが、危険なのはそれができることではなく、傷つきやすいことです。 誰かがそれを悪用するためには、.desktopまたは.directoryファイルをダウンロードする必要があります。これらのファイルは非常にまれであるため、ほとんどありません。 実際、彼らは私たちがそうするためにはソーシャルエンジニアリングを使って私たちをだまさなければならないと言います。
その見た目から、ペナーはで「面白い」何かを考え出したかった デフコン、セキュリティ会議であり、自慢するゼロデイ脆弱性を考え出すようにKDEコミュニティに指示しませんでした。 KDEコミュニティは丁寧にジェスチャーを台無しにし、彼らが解決策に一緒に取り組むことができるように最初にそれを彼らに伝えていたら彼らは感謝したであろうとだけ言った。
KDEコミュニティはすでに問題を修正しています
しかし、彼らはそれを必要としませんでした。 Plasmaのセキュリティ上の欠陥が公開されてからわずかXNUMX日後、彼らはすでにパッチを作成してリポジトリにアップロードしていました。 この記事の執筆時点では、 KDE neonユーザーはDiscoverからパッチをインストールできるようになりましたが、他のPlasmaユーザーはすぐにインストールできるようになります。 次の数時間で終了するXNUMX章のミニシリーズ。
