Deze week, afgelopen dinsdag, deed een ontwikkelaar en beveiligingsonderzoeker iets dat vaak bekritiseerd wordt: vind een kwetsbaarheid en publiceer het voordat u de ontwikkelaar van de software informeert. De ontwikkelaar was Penner en de software waarin hij het beveiligingsfout was de grafische omgeving van Plasma van de KDE-gemeenschap. Als je je afvraagt waarom we het in de verleden tijd hebben, doen we het omdat alles heel snel is gebeurd en de KDE-gemeenschap al de patches heeft afgeleverd die de bug corrigeren.
Maar laten we in delen gaan: het probleem zit of zat in de manier waarop KDesktopFile het .desktop- en .directory-bestanden Penner ontdekte dat .desktop- en .directory-bestanden kunnen worden gemaakt met kwaadaardige code die kan worden gebruikt om die code op de computer van een slachtoffer uit te voeren. De code wordt uitgevoerd zonder tussenkomst van de gebruiker, behalve het openen van de KDE-bestandsbeheerder om toegang te krijgen tot de map waarin we het bestand hebben opgeslagen. Maar dat KDE de patches al heeft geüpload, is niet het enige goede nieuws.
Plasma-beveiligingsfout is niet al te gevaarlijk
De Beveiligingsonderzoekers zeggen dat de onlangs ontdekte plasmafout niet al te gevaarlijk is Hoewel het aanzienlijke schade kan aanrichten, is het gevaarlijk niet wat het kan doen, maar hoe gemakkelijk het is om gewond te raken. Om ervoor te zorgen dat iemand er misbruik van kan maken, moeten we het .desktop- of .directory-bestand downloaden, iets dat, gezien de zeldzaamheid ervan, onwaarschijnlijk is. Ze zeggen zelfs dat ze ons moeten misleiden met social engineering om dat te doen.
Zo te zien wilde Penner iets 'interessants' bedenken bij de Defcon, een veiligheidsconferentie, en vertelde de KDE-gemeenschap niet om met een 0day-kwetsbaarheid te komen om mee op te scheppen. De KDE-gemeenschap bedierf beleefd het gebaar en zei alleen dat ze dankbaar zouden zijn geweest als ze het eerst aan hen hadden gecommuniceerd, zodat ze samen aan de oplossing konden werken.
KDE Community heeft het probleem al opgelost
Maar ze hebben het niet nodig gehad. Iets meer dan een dag nadat de beveiligingsfout van Plasma was gepubliceerd, hadden ze de patch al gemaakt en geüpload naar hun opslagplaatsen. Op het moment van schrijven, KDE neon-gebruikers kunnen de patch nu vanuit Discover installeren, terwijl andere Plasma-gebruikers dit binnenkort kunnen doen Een miniserie van twee hoofdstukken die in de komende uren zal eindigen.
