Bu hafta, geçen Salı, bir geliştirici ve güvenlik araştırmacısı sık sık eleştirilen bir şey yaptı: bir güvenlik açığı ve yazılımın geliştiricisine haber vermeden önce yayınlayın. Geliştirici Penner'dı ve içinde bulduğu yazılım güvenlik açığı, Plazma grafik ortamıydı KDE Topluluğundan. Neden geçmiş zamanda konuştuğumuzu merak ediyorsanız, bunu yapıyoruz çünkü her şey çok hızlı gerçekleşti ve KDE Topluluğu, hatayı düzelten yamaları çoktan teslim etti.
Ancak parçalara ayıralım: sorun, KDesktopFile'ın .desktop ve .directory dosyaları. Penner, .desktop ve .directory dosyalarının, bu kodu kurbanın bilgisayarında çalıştırmak için kullanılabilecek kötü amaçlı kodla oluşturulabileceğini keşfetti. Kod, dosyayı sakladığımız dizine erişmek için KDE dosya yöneticisini açmanın ötesinde, kullanıcı etkileşimi olmadan yürütülür. Ancak KDE'nin yamaları zaten yüklemiş olması tek iyi haber değil.
Plazma güvenlik açığı çok tehlikeli değil
Jardines de Viveros Güvenlik araştırmacıları, yakın zamanda keşfedilen Plazma kusurunun çok tehlikeli olmadığını söylüyor. Önemli hasara yol açma kapasitesine sahip olmasına rağmen, tehlikeli olan, yapabilecekleri değil, zarar görmenin ne kadar kolay olduğudur. Birinin bundan yararlanabilmesi için .desktop veya .directory dosyasını indirmemiz gerekir ki bu, ne kadar nadir olduklarından dolayı olası değildir. Aslında, bunu yapabilmemiz için sosyal mühendisliği kullanarak bizi kandırmaları gerektiğini söylüyorlar.
Görünüşe göre Penner, "ilginç" bir şey bulmak istemişti. Defcon, bir güvenlik konferansı ve KDE Topluluğuna övünmek için bir 0day güvenlik açığı bulmasını söylemedi. KDE Topluluğu bu hareketi nazikçe bozdu ve sadece çözüm üzerinde birlikte çalışabilmeleri için önce bunu kendilerine iletmiş olsalardı minnettar olacaklarını söyledi.
KDE Topluluğu sorunu zaten çözdü
Ama buna ihtiyaçları yoktu. Plasma güvenlik açığı yayınlandıktan bir günden biraz daha fazla bir süre sonra, yamayı çoktan oluşturmuş ve depolarına yüklemişlerdi. Bu yazı itibariyle, KDE neon kullanıcıları artık yamayı Discover'dan yükleyebilirken, diğer Plasma kullanıcıları bunu yakında yapabilecek.. Önümüzdeki birkaç saat içinde sona erecek iki bölümlük bir mini dizi.
