Šonedēļ, pagājušajā otrdienā, izstrādātājs un drošības pētnieks izdarīja kaut ko, ko bieži kritizē: atradu ievainojamība un pirms programmatūras izstrādātāja informēšanas to publicē. Izstrādātājs bija Penners un programmatūra, kurā viņš to atrada drošības trūkums bija plazmas grafiskā vide no KDE kopienas. Ja jūs domājat, kāpēc mēs runājam pagātnē, mēs to darām, jo viss ir noticis ļoti ātri, un KDE kopiena jau ir piegādājusi labojumus, kas izlabo kļūdu.
Bet turpināsim pa daļām: problēma ir vai bija tajā, kā KDesktopFile pārvalda .desktop un .directory faili. Penners atklāja, ka .desktop un .directory failus var izveidot ar ļaunprātīgu kodu, kuru var izmantot, lai palaistu šo kodu upura datorā. Kods tiek izpildīts bez lietotāja mijiedarbības, papildus KDE failu pārvaldnieka atvēršanai, lai piekļūtu direktorijai, kurā esam saglabājuši failu. Bet tas, ka KDE jau ir augšupielādējis ielāpus, nav vienīgā labā ziņa.
Plazmas drošības trūkums nav pārāk bīstams
L Drošības pētnieki saka, ka nesen atklātais Plazmas trūkums nav pārāk bīstams. Lai gan tas spēj nodarīt ievērojamu kaitējumu, bīstams ir nevis tas, ko tā var darīt, bet gan tas, cik viegli ir ievainot. Lai kāds to izmantotu, mums vajadzētu lejupielādēt .desktop vai .directory failu, kas ir maz ticams, ņemot vērā to retumu. Patiesībā viņi saka, ka, lai mēs to izdarītu, viņiem mums ir jāmānās, izmantojot sociālo inženieriju.
Pēc izskata Penners vēlējās nākt klajā ar kaut ko "interesantu" Defcon, drošības konference, un nelika KDE kopienai nākt klajā ar 0dienas ievainojamību, ar ko lielīties. KDE kopiena pieklājīgi sabojāja šo žestu, sakot tikai to, ka viņi būtu bijuši pateicīgi, ja būtu viņiem to teikuši jau iepriekš, lai varētu kopīgi strādāt pie risinājuma.
KDE kopiena jau ir novērsusi problēmu
Bet viņiem tas nav bijis vajadzīgs. Nedaudz vairāk nekā dienu pēc tam, kad tika publicēts plazmas drošības trūkums, viņi jau bija izveidojuši un augšupielādējuši plāksteri savos krātuvēs. Kopš šī raksta KDE neona lietotāji tagad var instalēt plāksteri no Discover, savukārt citi Plazmas lietotāji to varēs izdarīt drīz. Divas nodaļas miniseriāls, kas beigsies dažu nākamo stundu laikā.