Tento týždeň, minulý utorok, urobil vývojár a výskumný pracovník v oblasti bezpečnosti niečo, čo je často kritizované: nájsť zraniteľnosť a zverejnite ho skôr, ako informujete vývojára softvéru. Vývojárom bol Penner a softvér, v ktorom našiel bezpečnostnou chybou bolo plazmové grafické prostredie z komunity KDE. Ak sa pýtate, prečo hovoríme v minulom čase, robíme to preto, lebo všetko sa stalo veľmi rýchlo a komunita KDE už doručila opravy, ktoré chybu opravili.
Poďme ale po častiach: problém je alebo bol v tom, ako KDesktopFile spravuje súbory .desktop a .directory. Penner zistil, že súbory .desktop a .directory je možné vytvoriť pomocou škodlivého kódu, ktorý je možné použiť na spustenie tohto kódu v počítači obete. Kód sa vykonáva bez interakcie používateľa, okrem otvorenia správcu súborov KDE na prístup do adresára, kde sme súbor uložili. Ale to, že KDE už nahralo patche, nie je jediná dobrá správa.
Bezpečnostná chyba plazmy nie je príliš nebezpečná
undefined Vedci v oblasti bezpečnosti tvrdia, že nedávno objavená chyba plazmy nie je príliš nebezpečná. Aj keď je schopný spôsobiť značné škody, nebezpečné nie je to, čo dokáže, ale to, ako ľahko sa dá zraniť. Aby to niekto mohol zneužiť, mali by sme si stiahnuť súbor .desktop alebo .directory, čo je nepravdepodobné kvôli ich zriedkavosti. V skutočnosti hovoria, že ak to máme urobiť, musia nás oklamať sociálnym inžinierstvom.
Podľa vzhľadu chcel Penner prísť s niečím „zaujímavým“ na veľtrhu Defcon, bezpečnostná konferencia, a nepovedal komunite KDE, aby prišla s 0dennou zraniteľnosťou, s ktorou by sa mohla chváliť. Komunita KDE zdvorilo pokazila toto gesto, povedala len, že by boli vďační, keby im to najskôr oznámili, aby mohli na riešení spolupracovať.
Komunita KDE už problém vyriešila
Ale oni to nepotrebovali. O niečo viac ako deň po zverejnení bezpečnostnej chyby v plazme už patch vytvorili a nahrali do svojich úložísk. Od tohto písania Neónoví používatelia KDE si teraz môžu nainštalovať opravu z kanálu Discover, zatiaľ čo ostatní používatelia plazmy tak budú môcť urobiť čoskoro. Dvojkapitolová miniséria, ktorá sa skončí v najbližších hodinách.