สัปดาห์นี้เมื่อวันอังคารที่ผ่านมานักพัฒนาและนักวิจัยด้านความปลอดภัยได้ทำสิ่งที่มักถูกวิพากษ์วิจารณ์นั่นคือ find ช่องโหว่ และเผยแพร่ก่อนแจ้งให้นักพัฒนาซอฟต์แวร์ทราบ ผู้พัฒนาคือ Penner และซอฟต์แวร์ที่เขาพบไฟล์ ข้อบกพร่องด้านความปลอดภัยคือสภาพแวดล้อมกราฟิกของ Plasma จาก KDE Community หากคุณสงสัยว่าทำไมเราถึงพูดกันในอดีตเราก็ทำเพราะทุกอย่างเกิดขึ้นเร็วมากและ KDE Community ได้ส่งแพตช์ที่แก้ไขข้อบกพร่องไปแล้ว
แต่เรามาดูบางส่วนกันเถอะ: ปัญหาคือหรืออยู่ในวิธีที่ KDesktopFile จัดการไฟล์ .desktop และ. ไดเร็กทอรีไฟล์. เพนเนอร์ค้นพบว่าไฟล์. เดสก์ท็อปและ. ไดเร็กทอรีสามารถสร้างขึ้นด้วยรหัสที่เป็นอันตรายซึ่งสามารถใช้เพื่อรันโค้ดนั้นบนคอมพิวเตอร์ของเหยื่อได้ โค้ดถูกเรียกใช้งานโดยไม่มีการโต้ตอบกับผู้ใช้นอกเหนือจากการเปิดตัวจัดการไฟล์ KDE เพื่อเข้าถึงไดเร็กทอรีที่เราเก็บไฟล์ไว้ แต่การที่ KDE อัปโหลดแพตช์นั้นไม่ใช่ข่าวดีเพียงอย่างเดียว
ข้อบกพร่องด้านความปลอดภัยของพลาสมาไม่เป็นอันตรายเกินไป
ลอส นักวิจัยด้านความปลอดภัยกล่าวว่าข้อบกพร่องของ Plasma ที่เพิ่งค้นพบนั้นไม่อันตรายเกินไป. แม้ว่ามันจะสามารถสร้างความเสียหายได้มาก แต่สิ่งที่อันตรายไม่ใช่สิ่งที่ทำได้ แต่การบาดเจ็บนั้นง่ายแค่ไหน เพื่อให้ใครบางคนใช้ประโยชน์จากมันเราควรดาวน์โหลดไฟล์. desktop หรือ. directory ซึ่งไม่น่าจะเป็นไปได้เนื่องจากความหายากเพียงใด อันที่จริงพวกเขาบอกว่าเพื่อให้เราทำเช่นนั้นพวกเขาต้องหลอกล่อเราโดยใช้วิศวกรรมสังคม
จากรูปลักษณ์ของมัน Penner ต้องการที่จะสร้างสิ่งที่ "น่าสนใจ" ที่ Defconการประชุมด้านความปลอดภัยและไม่ได้บอกให้ KDE Community มีช่องโหว่ 0day ที่จะคุยโม้ ชุมชน KDE เสียท่าทางอย่างสุภาพโดยบอกเพียงว่าพวกเขาจะรู้สึกขอบคุณหากได้สื่อสารกับพวกเขาก่อนเพื่อให้พวกเขาสามารถทำงานร่วมกันในการแก้ปัญหาได้
KDE Community ได้แก้ไขปัญหาแล้ว
แต่พวกเขาไม่ต้องการมัน ไม่ถึงหนึ่งวันหลังจากที่มีการเผยแพร่ข้อบกพร่องด้านความปลอดภัยของ Plasma พวกเขาได้สร้างและอัปโหลดโปรแกรมแก้ไขไปยังที่เก็บของพวกเขาแล้ว ในขณะที่เขียนนี้ ผู้ใช้ KDE neon สามารถติดตั้งแพตช์จาก Discover ได้แล้วในขณะที่ผู้ใช้ Plasma รายอื่นจะสามารถทำได้เร็ว ๆ นี้. มินิซีรีส์สองตอนที่จะจบลงในอีกไม่กี่ชั่วโมงข้างหน้า
