Zranitelnost objevená v plazmě

Výzkumník v oblasti bezpečnosti vydal příběh, který by mohl být velkým znepokojením pro ty, kteří používají KDE Plasma v systému Linux. Vzhledem k tomu, že byla zjištěna chyba zabezpečení, kterou lze příliš snadno zneužít. Tato mezera umožňuje spuštění škodlivého kódu včetně souborů.desktop a.directory. Nachází se v KDE Framework 5.60.0 a starších verzích, které mají dopad na verze 4 a 5 desktopového prostředí.

Zranitelnost objevená v plazmě KDE

Využití chyby je založeno na způsobu, jakým třída KDesktopFile zpracovává soubory.desktop a.directory. Bylo zjištěno, že je možné vytvářet soubory se škodlivým kódem, které jsou potom spouštěny v počítači.

Vážné narušení bezpečnosti

KDE Plasma generuje.directory soubor v každé složce, která byla navštívena pomocí Dolphin. Protože je ve výchozím nastavení skrytý a je elementární, je snadné jej maskovat do komprimovaného souboru. Útočník tedy může vytvořit komprimovaný soubor se složkou uvnitř, kde je škodlivý soubor. Když ji oběť rozbalí, přistupuje k Dolphinovi, který automaticky přečte soubor.directory a škodlivý kód se poté spustí.

Ačkoli to vylučuje vzdálený útok, je stále poměrně snadný způsob přístupu k počítači oběti. Je to tedy něco, co mezi uživateli vyvolalo velké obavy a vidělo, jak snadno je lze využít.

KDE Plasma zatím nedala žádnou reakci. Ačkoliv je třeba doufat, že z vaší strany brzy přijde nějaké další bezpečnostní opatření, aby se zabránilo útokům založeným na tomto selhání. Jedná se o závažnou zranitelnost, ale lze ji opravit. Doufáme, že se to stane brzy.

The Hacker News Font