Den här veckan, förra tisdagen, gjorde en utvecklare och säkerhetsforskare något som ofta kritiseras: hitta en sårbarhet och publicera den innan du informerar utvecklaren om programvaran. Utvecklaren var Penner och programvaran där han hittade säkerhetsfelet var den grafiska miljön i plasma från KDE Community. Om du undrar varför vi pratar i det förflutna, gör vi det för att allt har hänt mycket snabbt och KDE-communityn har redan levererat korrigeringsfilerna som korrigerar felet.
Men låt oss gå igenom delar: problemet är eller var i hur KDesktopFile hanterar .desktop- och .directory-filer. Penner upptäckte att .desktop- och .directory-filer kunde skapas med skadlig kod som kunde användas för att köra koden på offrets dator. Koden körs utan användarinteraktion, förutom att öppna KDE-filhanteraren för att komma åt katalogen där vi har lagrat filen. Men att KDE redan har laddat upp lapparna är inte de enda goda nyheterna.
Plasmasäkerhetsfel är inte alltför farligt
mycket Säkerhetsforskare säger att den nyligen upptäckta plasmafel inte är för farlig. Även om det kan orsaka betydande skador, är det inte farligt vad det kan göra, utan hur lätt det är att skada sig. För att någon ska kunna utnyttja den bör vi ladda ner .desktop- eller .directory-filen, något som på grund av hur sällsynta de är osannolikt. Faktum är att de säger att för oss att göra det måste de lura oss med hjälp av socialteknik.
Från utseendet av det, Penner ville komma med något "intressant" på Defcon, en säkerhetskonferens och sa inte till KDE-communityn att komma med en 0-dagars sårbarhet att skryta om. KDE-gemenskapen förstörde artigt gesten och sa bara att de skulle ha varit tacksamma om de hade sagt till dem tidigare så att de kunde arbeta tillsammans om lösningen.
KDE Community har redan åtgärdat problemet
Men de har inte behövt det. Lite mer än en dag efter det att säkerhetsfelet i Plasma publicerades hade de redan skapat och laddat upp plåstret till sina förråd. När detta skrivs, KDE-neonanvändare kan nu installera korrigeringsfilen från Discover, medan andra Plasma-användare kommer att kunna göra det snart. En miniserie med två kapitel som kommer att avslutas under de närmaste timmarna.
