На этой неделе, в прошлый вторник, разработчик и исследователь безопасности сделал то, что часто критикуют: нашел уязвимость и опубликуйте его, прежде чем сообщать разработчику программного обеспечения. Разработчиком был Пеннер, и программное обеспечение, в котором он нашел недостатком безопасности была графическая среда Plasma. из сообщества KDE. Если вам интересно, почему мы говорим в прошедшем времени, мы делаем это, потому что все произошло очень быстро, и сообщество KDE уже предоставило исправления, исправляющие ошибку.
Но давайте рассмотрим по частям: проблема в том, как KDesktopFile управляет файлы .desktop и .directory. Пеннер обнаружил, что файлы .desktop и .directory могут быть созданы с помощью вредоносного кода, который можно использовать для запуска этого кода на компьютере жертвы. Код выполняется без взаимодействия с пользователем, за исключением открытия файлового менеджера KDE для доступа к каталогу, в котором мы сохранили файл. Но то, что KDE уже загрузила исправления, - не единственная хорошая новость.
Недостаток плазменной безопасности не слишком опасен
Исследователи безопасности говорят, что недавно обнаруженная уязвимость Plasma не слишком опасна. Хотя он способен нанести значительный ущерб, опасно не то, что он может сделать, а то, насколько легко получить травму. Чтобы кто-то мог воспользоваться им, мы должны загрузить файл .desktop или .directory, что маловероятно из-за их редкости. На самом деле они говорят, что для этого им нужно обмануть нас с помощью социальной инженерии.
Видимо Пеннер хотел придумать что-нибудь "интересное" на Defcon, конференции по безопасности, и не сказал сообществу KDE придумать уязвимость нулевого дня, которой можно было бы похвастаться. Сообщество KDE вежливо испортило этот жест, сказав только, что они были бы благодарны, если бы сначала сообщили об этом им, чтобы они могли вместе работать над решением.
Сообщество KDE уже устранило проблему
Но им это не нужно. Немногим более чем через день после публикации бреши в безопасности Plasma они уже создали и загрузили патч в свои репозитории. На момент написания этой статьи Пользователи KDE neon теперь могут установить патч из Discover, в то время как другие пользователи Plasma смогут это сделать в ближайшее время.. Мини-сериал из двух глав, который закончится в ближайшие несколько часов.
