Цього тижня, минулого вівторка, розробник та дослідник безпеки зробив щось, що часто критикують: знайти вразливість та опублікуйте його перед інформуванням розробника програмного забезпечення. Розробником був Пеннер та програмне забезпечення, в якому він знайшов недоліком безпеки було графічне середовище Плазми від спільноти KDE. Якщо вам цікаво, чому ми говоримо в минулому часі, ми робимо це, тому що все відбулося дуже швидко, і спільнота KDE вже доставила виправлення, що виправляють помилку.
Але давайте розберемося по частинах: проблема полягає в тому, чи KDesktopFile керує файлом .desktop та .directory файли. Пеннер виявив, що файли .desktop та .directory можуть створюватися з шкідливим кодом, який можна використовувати для запуску цього коду на комп'ютері жертви. Код виконується без взаємодії користувача, окрім відкриття файлового менеджера KDE для доступу до каталогу, де ми зберігаємо файл. Але те, що KDE вже завантажило виправлення, - не єдина хороша новина.
Недолік плазмової безпеки не надто небезпечний
L Дослідники безпеки кажуть, що нещодавно виявлений дефект плазми не надто небезпечний. Хоча він здатний завдати значної шкоди, небезпека полягає не в тому, що він може зробити, а в тому, як легко поранитись. Для того, щоб хтось ним скористався, нам слід завантажити файл .desktop або .directory - щось, що через те, наскільки вони рідкісні, малоймовірне. Насправді вони кажуть, що для цього нам потрібно обдурити нас, використовуючи соціальну інженерію.
На перший погляд, Пеннер хотів придумати щось "цікаве" в Defcon, конференція з питань безпеки, і не сказав спільноті KDE запропонувати 0-денну вразливість, якою вона може похвалитися. Спільнота KDE ввічливо зіпсувала цей жест, сказавши лише, що вони були б вдячні, якби сказали їм це раніше, щоб вони могли спільно працювати над рішенням.
Спільнота KDE вже вирішила проблему
Але їм це не потрібно. Трохи більше ніж через добу після публікації дефекту безпеки плазми вони вже створили та завантажили патч до своїх сховищ. На момент написання статті Користувачі KDE neon тепер можуть встановити виправлення з Discover, тоді як інші користувачі плазми зможуть це зробити найближчим часом. Двоглавий міні-серіал, який закінчиться протягом найближчих годин.