Quando falamos em Plasma, pelo menos um servidor, fazemos isso para contar sobre todos os benefícios que nos oferece as opções de desktop bonitos, fluidos e cheios de KDE, mas hoje temos que dar menos notícias boas. Conforme coletado em ZDNet, um pesquisador de segurança tem encontrou uma vulnerabilidade no Plasma e publicou uma prova de conceito explorando a falha de segurança existente no KDE Framework. No momento, não há solução disponível, além de uma temporária na forma de uma previsão que a comunidade KDE postou no Twitter.
Primeiras coisas primeiro. Antes de continuar com o artigo, temos que dizer que o KDE já está trabalhando para consertar a falha de segurança recentemente descoberta. Ainda mais importante do que saber que eles estão trabalhando para resolver a falha é a solução temporária que eles nos oferecem: o que NÃO precisamos fazer é baixar arquivos com extensão .desktop ou .directory de fontes não confiáveis. Em suma, não temos que fazer algo que nunca deveríamos fazer, mas desta vez com mais razão.
Como funciona a vulnerabilidade do Plasma descoberta
O problema está em como o KDesktopFile lida com os arquivos .desktop e .directory mencionados. Foi descoberto que os arquivos .desktop e .directory podiam ser criados com código malicioso que pode ser usado para executar tal código no computador da vítima. Quando um usuário do Plasma abre o gerenciador de arquivos KDE para acessar o diretório onde esses arquivos estão armazenados, o código malicioso é executado sem a interação do usuário.
Do lado técnico, vulnerabilidade pode ser usado para armazenar comandos de shell nas entradas padrão de "Ícone" encontradas nos arquivos .desktop e .directory. Quem descobriu o bug disse que o KDE «iráexecutar nosso comando sempre que o arquivo for visto".
Bug listado de baixa gravidade - a engenharia social deve ser usada
Os especialistas em segurança eles não classificam a falha como muito grave, principalmente porque precisamos fazer o download do arquivo em nosso computador. Não podem classificar como grave porque os arquivos .desktop e .directory são muito raros, ou seja, não é normal baixá-los pela internet. Com isso em mente, eles deveriam nos induzir a baixar um arquivo com o código malicioso necessário para explorar esta vulnerabilidade.
Para avaliar todas as possibilidades, o usuário malicioso pode compactar os arquivos em ZIP ou TAR E quando descompactamos e visualizamos o conteúdo, o código malicioso seria executado sem que percebêssemos. Além disso, o exploit pode ser usado para baixar o arquivo em nosso sistema sem que possamos interagir com ele.
Quem descobriu o falo, Penner, não disse à comunidade KDE Porque "Principalmente eu só queria sair um dia antes do Defcon. Pretendo relatá-lo, mas o problema é mais uma falha de design do que uma vulnerabilidade real, apesar do que pode fazer«. Por outro lado, a comunidade KDE, sem surpresa, não ficou muito feliz que um bug foi publicado antes de comunicá-lo a eles, mas eles se limitaram a dizer que «Agradeceríamos se você pudesse entrar em contato com security@kde.org antes de lançar um exploit ao público para que pudéssemos decidir juntos sobre um cronograma.".
Plasma 5 vulnerável e KDE 4
Quem é novo no KDE sabe que o ambiente gráfico se chama Plasma, mas nem sempre foi assim. As primeiras três versões foram chamadas de KDE, enquanto a quarta foi chamada de KDE Software Compilation 4. Nome separado, as versões vulneráveis são KDE 4 e Plasma 5. A quinta versão foi lançada em 2014, por isso é difícil para qualquer pessoa usar o KDE 4.
Em qualquer caso, e esperando a comunidade KDE lançar o patch em que já estão trabalhando, no momento não confie em ninguém que lhe enviará um arquivo .desktop ou .directory. Isso é algo que devemos sempre fazer, mas agora com mais razão. Confio na Comunidade KDE e que em poucos dias tudo estará resolvido.