本週,上週二,一位開發人員和安全研究人員做了一件經常被批評的事情:發現 脆弱性 並在通知軟體開發者之前發布它。 開發者是 Penner,他在該軟體中發現了 Plasma 圖形環境有安全缺陷 來自 KDE 社區。 如果您想知道為什麼我們用過去式說話,我們這樣做是因為一切都發生得非常快,而且 KDE 社群已經發布了糾正錯誤的補丁。
但讓我們分部分來看:問題現在或曾經是 KDesktopFile 如何管理 .desktop 和 .directory 文件。 Penner 發現可以使用惡意程式碼建立 .desktop 和 .directory 文件,這些惡意程式碼可用於在受害者的電腦上執行所述程式碼。 如果使用者交互,無論我們是否打開 KDE 檔案管理器來存取儲存檔案的目錄,程式碼都會執行。 但 KDE 已經上傳補丁並不是唯一的好消息。
等離子安全缺陷並不太危險
很多 安全研究人員表示新發現的 Plasma 缺陷並不太危險。 雖然它能夠造成重大損害,但危險的不是它能做什麼,而是造成損害的容易程度。 為了讓某人利用它,我們需要下載 .desktop 或 .directory 文件,考慮到它們的罕見性,這是不可能的。 事實上,他們說,要我們做到這一點,他們必須使用社會工程來欺騙我們。
顯然,彭納想想出一些對人們來說「有趣」的東西。 Defcon的,一個安全會議,並沒有傳達給KDE社群來拿出一個0day漏洞來吹噓。 KDE 社群禮貌地批評了這一舉動,只是說如果他們能先被告知,他們會很感激,這樣他們就可以共同研究解決方案。
KDE社區已經解決了這個問題
但他們不需要它。 Plasma 安全漏洞發布一天多後,他們已經創建了修補程式並將其上傳到他們的儲存庫。 在寫下這些行的時候, KDE neon 用戶現在可以從 Discover 安裝補丁,而其他 Plasma 用戶很快也可以這樣做。 兩章迷你劇將在接下來的幾個小時內結束。