Они обнаружили брешь в безопасности в Plasma, но KDE устранила ее в мгновение ока.

Плазма без нарушения безопасности

На этой неделе, в прошлый вторник, разработчик и исследователь безопасности сделал то, что часто критикуют: нашел уязвимость и опубликуйте его, прежде чем сообщать разработчику программного обеспечения. Разработчиком был Пеннер, и программное обеспечение, в котором он нашел недостатком безопасности была графическая среда Plasma. из сообщества KDE. Если вам интересно, почему мы говорим в прошедшем времени, мы делаем это, потому что все произошло очень быстро, и сообщество KDE уже предоставило исправления, исправляющие ошибку.

Но давайте рассмотрим по частям: проблема в том, как KDesktopFile управляет файлы .desktop и .directory. Пеннер обнаружил, что файлы .desktop и .directory могут быть созданы с помощью вредоносного кода, который можно использовать для запуска этого кода на компьютере жертвы. Код выполняется без взаимодействия с пользователем, за исключением открытия файлового менеджера KDE для доступа к каталогу, в котором мы сохранили файл. Но то, что KDE уже загрузила исправления, - не единственная хорошая новость.

Недостаток плазменной безопасности не слишком опасен

Исследователи безопасности говорят, что недавно обнаруженная уязвимость Plasma не слишком опасна. Хотя он способен нанести значительный ущерб, опасно не то, что он может сделать, а то, насколько легко получить травму. Чтобы кто-то мог воспользоваться им, мы должны загрузить файл .desktop или .directory, что маловероятно из-за их редкости. На самом деле они говорят, что для этого им нужно обмануть нас с помощью социальной инженерии.

Видимо Пеннер хотел придумать что-нибудь "интересное" на Defcon, конференции по безопасности, и не сказал сообществу KDE придумать уязвимость нулевого дня, которой можно было бы похвастаться. Сообщество KDE вежливо испортило этот жест, сказав только, что они были бы благодарны, если бы сначала сообщили об этом им, чтобы они могли вместе работать над решением.

Сообщество KDE уже устранило проблему

Но им это не нужно. Немногим более чем через день после публикации бреши в безопасности Plasma они уже создали и загрузили патч в свои репозитории. На момент написания этой статьи Пользователи KDE neon теперь могут установить патч из Discover, в то время как другие пользователи Plasma смогут это сделать в ближайшее время.. Мини-сериал из двух глав, который закончится в ближайшие несколько часов.

Опасность Firefox
Теме статьи:
Firefox обновляется второй раз за неделю, чтобы исправить недостатки безопасности

Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.