Họ đã phát hiện ra một lỗ hổng bảo mật trong Plasma, nhưng KDE đã sửa nó trong chớp mắt

Pablinux

2 phút

Plasma không vi phạm an ninh

Tuần này, thứ Ba tuần trước, một nhà phát triển và nhà nghiên cứu bảo mật đã làm một việc thường bị chỉ trích: tìm một lỗ hổng và xuất bản nó trước khi thông báo cho nhà phát triển phần mềm. Nhà phát triển là Penner và phần mềm mà anh ấy đã tìm thấy lỗ hổng bảo mật là môi trường đồ họa Plasma từ Cộng đồng KDE. Nếu bạn thắc mắc tại sao chúng ta lại nói chuyện trong quá khứ, thì chúng ta làm vậy vì mọi thứ diễn ra rất nhanh và Cộng đồng KDE đã gửi các bản vá sửa lỗi.

Nhưng chúng ta hãy đi vào các phần: vấn đề nằm ở chỗ hoặc cách KDesktopFile quản lý Các tệp .desktop và .directory. Penner phát hiện ra rằng các tệp .desktop và .directory có thể được tạo bằng mã độc hại có thể được sử dụng để chạy mã đó trên máy tính của nạn nhân. Mã được thực thi mà không có sự tương tác của người dùng, ngoài việc mở trình quản lý tệp KDE để truy cập vào thư mục nơi chúng tôi đã lưu trữ tệp. Nhưng KDE đã tải lên các bản vá không phải là tin tốt duy nhất.

Lỗ hổng bảo mật Plasma không quá nguy hiểm

Các Các nhà nghiên cứu bảo mật cho biết lỗ hổng Plasma được phát hiện gần đây không quá nguy hiểm. Tuy có khả năng gây sát thương đáng kể nhưng nguy hiểm không phải là thứ nó có thể làm được, mà là dễ dàng bị thương như thế nào. Để ai đó có thể khai thác nó, chúng ta nên tải xuống tệp .desktop hoặc .directory, một cái gì đó hiếm khi xảy ra. Trên thực tế, họ nói rằng để chúng tôi làm như vậy, họ phải lừa chúng tôi bằng kỹ thuật xã hội.

Rõ ràng Penner muốn nghĩ ra một điều gì đó "thú vị" tại Defcon, một hội nghị bảo mật và không nói với Cộng đồng KDE về lỗ hổng 0day để khoe khoang. Cộng đồng KDE đã lịch sự làm hỏng cử chỉ, chỉ nói rằng họ sẽ rất biết ơn nếu họ đã thông báo điều đó cho họ trước để họ có thể cùng nhau tìm ra giải pháp.

Cộng đồng KDE đã khắc phục sự cố

Nhưng họ không cần nó. Chỉ hơn một ngày sau khi lỗi bảo mật Plasma được công bố, họ đã tạo và tải bản vá lên kho của họ. Khi viết bài này, Người dùng KDE neon hiện có thể cài đặt bản vá từ Discover, trong khi những người dùng Plasma khác sẽ sớm có thể làm như vậy. Một miniseries hai chương sẽ kết thúc trong vài giờ tới.

Firefox Nguy hiểm
Bài viết liên quan:
Firefox được cập nhật lần thứ hai trong một tuần để sửa các lỗi bảo mật

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: AB Internet Networks 2008 SL
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.