本周,上周二,开发人员和安全研究人员做了一些经常被批评的事情:发现 脆弱性 并在通知软件开发人员之前将其发布。 开发人员是Penner,他在其中找到了 安全漏洞是等离子图形环境 来自KDE社区。 如果您想知道为什么我们用过去时进行讨论,我们之所以这样做,是因为一切都进行得非常快,并且KDE社区已经提供了修正该错误的补丁程序。
但是,让我们进行部分讨论:问题是或曾经存在于KDesktopFile如何管理 .desktop和.directory文件。 Penner发现可以使用恶意代码创建.desktop和.directory文件,这些恶意代码可以用于在受害者的计算机上运行该代码。 除了打开KDE文件管理器访问我们存储文件的目录之外,无需用户交互即可执行代码。 但是,KDE已经上传了补丁程序并不是唯一的好消息。
等离子安全漏洞不太危险
MGI 安全研究人员说,最近发现的等离子缺陷不太危险。 尽管它能够造成重大损害,但危险的不是它可以做什么,而是受伤的难易程度。 为了使某人能够利用它,我们应该下载.desktop或.directory文件,由于它们很少见,因此不太可能进行下载。 实际上,他们说要这样做,就必须使用社会工程学来欺骗我们。
从外观上看,Penner希望提出一些“有趣”的东西。 DEFCON,这是一次安全会议,并且没有告诉KDE社区提出0day漏洞来吹嘘。 KDE社区礼貌地破坏了该手势,只说如果他们先与他们交流,他们将不胜感激,以便他们可以共同解决该问题。
KDE社区已经解决了该问题
但是他们并不需要它。 等离子安全漏洞发布后仅一天,他们已经创建了补丁并将其上传到其存储库中。 在撰写本文时, KDE neon用户现在可以从Discover安装补丁,而其他Plasma用户则可以很快安装。。 两章迷你剧将在接下来的几个小时内结束。