Denne uken, forrige tirsdag, gjorde en utvikler og sikkerhetsforsker noe som ofte blir kritisert: finne en sårbarhet og publiser den før du informerer utvikleren om programvaren. Utvikleren var Penner og programvaren som han fant sikkerhetsfeil var det grafiske miljøet i plasma fra KDE Community. Hvis du lurer på hvorfor vi snakker i fortid, gjør vi det fordi alt har skjedd veldig raskt, og KDE-fellesskapet har allerede levert oppdateringene som retter feilen.
Men la oss gå i deler: problemet er eller var i hvordan KDesktopFile administrerer .desktop og .directory filer. Penner oppdaget at .desktop- og .directory-filer kunne opprettes med skadelig kode som kunne brukes til å kjøre den koden på offerets datamaskin. Koden utføres uten brukerinteraksjon, utover å åpne KDE-filbehandling for å få tilgang til katalogen der vi har lagret filen. Men at KDE allerede har lastet opp lappene, er ikke den eneste gode nyheten.
Plasmasikkerhetsfeil er ikke for farlig
den Sikkerhetsforskere sier at den nylig oppdagede plasmafeilen ikke er for farlig. Selv om det er i stand til å forårsake betydelig skade, er det ikke farlig hva det kan gjøre, men hvor lett det er å bli skadet. For at noen skal kunne utnytte den, bør vi laste ned .desktop- eller .directory-filen, noe som på grunn av hvor sjeldne de er, er lite sannsynlig. Faktisk sier de at for at vi skal gjøre det, må de lure oss ved å bruke sosialteknikk.
Fra utseendet til det, ønsket Penner å finne på noe "interessant" på Defcon, en sikkerhetskonferanse, og ba ikke KDE-fellesskapet om å komme opp med et 0-dagers sårbarhet å skryte av. KDE-fellesskapet ødela høflig gesten og sa bare at de ville ha satt pris på det hvis de hadde fortalt dem før, slik at de kunne jobbe sammen om løsningen.
KDE-fellesskapet har allerede løst problemet
Men de har ikke trengt det. Litt mer enn en dag etter at Plasma-sikkerhetsfeilen ble publisert, hadde de allerede opprettet og lastet opp lappen til deres arkiver. Når dette skrives, KDE-neonbrukere kan nå installere oppdateringen fra Discover, mens andre Plasma-brukere vil kunne gjøre det snart. En to-kapittels miniserie som avsluttes i løpet av de neste timene.
