На этой неделе, в прошлый вторник, разработчик и исследователь безопасности сделал что-то, что обычно критично: найти уязвимость и опубликовать ее, прежде чем сообщать, кто разрабатывает программное обеспечение. Разработчиком был Пеннер и программное обеспечение, в котором он нашел Недостатком безопасности стала графическая среда Плазма из сообщества KDE. Если вы удивляетесь, почему мы говорим в прошлом, мы делаем это, потому что все произошло так быстро, и сообщество KDE уже выпустило исправления, исправляющие ошибку.
Но давайте пойдем по частям: проблема в том, как KDesktopFile управляет Файлы .desktop и .directory, Пеннер обнаружил, что файлы .desktop и .directory могут быть созданы с использованием вредоносного кода, который можно использовать для выполнения этого кода на компьютере жертвы. Код выполняется при взаимодействии пользователя, кроме открытия файлового менеджера KDE для доступа к каталогу, в котором мы сохранили файл. Но то, что KDE уже загрузил патчи, не единственная хорошая новость.
Недостаток безопасности плазмы не слишком опасен
Исследователи безопасности говорят, что недавно обнаруженная ошибка в плазме не слишком опасна, Хотя он способен нанести значительный ущерб, опасная вещь заключается не в том, что он может сделать, а в том, как легко получить травму. Чтобы кто-то мог его использовать, нам следует скачать файл .desktop или .directory, что маловероятно из-за их редкости. На самом деле, они говорят, что для этого мы должны обмануть нас, используя социальную инженерию.
Видимо, Пеннер хотел получить что-то «интересное» для Defconконференции по безопасности, и не сообщил об этом сообществу KDE, чтобы прибыть с уязвимостью 0 дней, чтобы хвастаться. Сообщество KDE побрило этот жест образованием, сказав, что они были бы благодарны за то, что они общались с ними раньше, чтобы они могли работать вместе над решением.
Сообщество KDE уже решило проблему
Но они им не нужны. Спустя чуть больше дня после того, как было обнаружено нарушение безопасности Plasma, они уже создали и загрузили патч в свои репозитории. На момент написания этих строк, Пользователи KDE neon теперь могут установить патч из Discover, тогда как другие пользователи Plasma смогут это сделать в ближайшее время., Мини-сериал из двух глав, который закончится в ближайшие несколько часов.
Связанная статья:
Firefox обновляется второй раз в неделю, чтобы исправить недостатки безопасности
