Ta teden, prejšnji torek, je razvijalec in raziskovalec varnosti naredil nekaj, kar je pogosto kritizirano: najti ranljivost in ga objavite, preden obvestite razvijalca programske opreme. Razvijalec je bil Penner in programska oprema, v kateri je našel varnostna napaka je bilo plazemsko grafično okolje iz skupnosti KDE. Če se sprašujete, zakaj govorimo v preteklem času, to storimo, ker se je vse zgodilo zelo hitro in je skupnost KDE že dostavila popravke, ki odpravijo napako.
Toda pojdimo po delih: težava je ali je bila v tem, kako KDesktopFile upravlja .desktop in .directory datoteke. Penner je odkril, da je mogoče datoteke .desktop in .directory ustvariti z zlonamerno kodo, ki bi jo lahko uporabili za zagon te kode v računalniku žrtve. Koda se izvede brez interakcije uporabnika, poleg odpiranja upravitelja datotek KDE za dostop do imenika, v katerem smo datoteko shranili. Toda to, da je KDE že naložil popravke, ni edina dobra novica.
Varnostna napaka v plazmi ni preveč nevarna
P Varnostni raziskovalci menijo, da nedavno odkrita napaka v plazmi ni preveč nevarna. Čeprav lahko povzroči veliko škodo, nevarnost ni v tem, kaj lahko stori, ampak v tem, kako enostavno je poškodovati se. Da bi jo nekdo izkoristil, bi morali prenesti datoteko .desktop ali .directory, kar je malo verjetno, ker je zelo redko. Pravzaprav pravijo, da nas morajo zato, da to storijo, pretentati z uporabo socialnega inženiringa.
Po videzu je Penner želel izmisliti nekaj "zanimivega" na Defcon, varnostno konferenco in skupnosti KDE ni naročil, naj pripravi 0-dnevno ranljivost, s katero bi se lahko pohvalila. Skupnost KDE je vljudno pokvarila gesto, rekoč le, da bi bili hvaležni, če bi jim to najprej sporočili, da bi lahko skupaj rešili rešitev.
Skupnost KDE je težavo že odpravila
Vendar je niso potrebovali. Malo več kot en dan po objavi pomanjkljivosti v plazmi so obliž že ustvarili in naložili v svoja skladišča. Od tega pisanja, Uporabniki KDE neon lahko zdaj namestijo popravek iz Discover, drugi uporabniki plazme pa bodo to lahko storili kmalu. Miniserija z dvema poglavjema, ki se bo končala v naslednjih nekaj urah.