Săptămâna aceasta, marți, un dezvoltator și cercetător în domeniul securității a făcut ceva care este adesea criticat: găsirea o vulnerabilitate și publicați-l înainte de a informa dezvoltatorul software-ului. Dezvoltatorul a fost Penner și software-ul în care a găsit defectul de securitate a fost mediul grafic Plasma din comunitatea KDE. Dacă vă întrebați de ce vorbim la timpul trecut, o facem pentru că totul sa întâmplat foarte repede și Comunitatea KDE a livrat deja patch-urile care corectează eroarea.
Dar să mergem pe părți: problema este sau a fost în modul în care KDesktopFile gestionează fișiere .desktop și .directory. Penner a descoperit că fișierele .desktop și .directory pot fi create cu coduri rău intenționate care ar putea fi utilizate pentru a rula codul respectiv pe computerul victimei. Codul este executat fără interacțiunea utilizatorului, dincolo de deschiderea managerului de fișiere KDE pentru a accesa directorul în care am stocat fișierul. Dar faptul că KDE a încărcat deja patch-urile nu este singura veste bună.
Defectele de securitate plasmatică nu sunt prea periculoase
L Cercetătorii din domeniul securității spun că defectul recent descoperit în plasmă nu este prea periculos. Deși este capabil să provoace daune semnificative, ceea ce este periculos nu este ceea ce poate face, ci cât de ușor este să te rănești. Pentru ca cineva să-l exploateze, ar trebui să descărcăm fișierul .desktop sau .directory, lucru care, din cauza cât de rare sunt, este puțin probabil. De fapt, ei spun că, pentru a face acest lucru, trebuie să ne păcălească folosind ingineria socială.
Din aspectul său, Penner a vrut să vină cu ceva „interesant” la Defcon, o conferință de securitate și nu i-a spus comunității KDE să vină cu o vulnerabilitate de 0 zile de care să se laude. Comunitatea KDE a stricat politicos gestul, spunând doar că ar fi fost recunoscători dacă le-ar fi spus înainte ca să poată lucra împreună la soluție.
Comunitatea KDE a rezolvat deja problema
Dar nu au avut nevoie de ea. La puțin mai mult de o zi după publicarea defectului de securitate plasmatică, ei deja au creat și încărcat patch-ul în depozitele lor. Începând cu această scriere, Utilizatorii de neon KDE pot instala acum patch-ul de la Discover, în timp ce alți utilizatori de plasmă vor putea face acest lucru în curând. O miniserie cu două capitole care se va încheia în următoarele ore.
