Esta semana, terça-feira passada, um desenvolvedor e pesquisador de segurança fez algo que é frequentemente criticado: encontrar uma vulnerabilidade e publicá-lo antes de informar o desenvolvedor do software. O desenvolvedor foi Penner e o software no qual ele encontrou o falha de segurança era o ambiente gráfico do Plasma da comunidade KDE. Se você se pergunta por que estamos falando no passado, fazemos isso porque tudo aconteceu muito rapidamente e a comunidade KDE já entregou os patches que corrigem o bug.
Mas vamos em partes: o problema é ou estava em como KDesktopFile gerencia o Arquivos .desktop e .directory. Penner descobriu que os arquivos .desktop e .directory podem ser criados com código malicioso que pode ser usado para executar esse código no computador da vítima. O código é executado sem interação do usuário, além de abrir o gerenciador de arquivos KDE para acessar o diretório onde armazenamos o arquivo. Mas o fato de o KDE já ter enviado os patches não é a única boa notícia.
A falha de segurança do plasma não é muito perigosa
Os Pesquisadores de segurança dizem que a falha do plasma recentemente descoberta não é muito perigosa. Embora seja capaz de causar danos significativos, o que é perigoso não é o que pode fazer, mas como é fácil se machucar. Para que alguém o explore, devemos baixar o arquivo .desktop ou .directory, algo que, por serem raros, é improvável. Na verdade, eles dizem que, para fazermos isso, eles precisam nos enganar usando a engenharia social.
Ao que parece, Penner queria inventar algo "interessante" no Defcon, uma conferência de segurança e não disse à comunidade do KDE para apresentar uma vulnerabilidade de 0 dias para se gabar. A comunidade do KDE polidamente estragou o gesto, dizendo apenas que eles teriam ficado gratos se eles tivessem comunicado a eles primeiro para que eles pudessem trabalhar juntos na solução.
A comunidade KDE já corrigiu o problema
Mas eles não precisaram disso. Pouco mais de um dia após a publicação da falha de segurança do Plasma, eles já haviam criado e carregado o patch em seus repositórios. No momento em que escrevo, Os usuários de néon do KDE agora podem instalar o patch do Discover, enquanto outros usuários do Plasma poderão fazer isso em breve. Uma minissérie de dois capítulos que terminará nas próximas horas.