Hændelse med KDE-tema, der sletter brugerfiler

KDE-projektet har anbefalet mod installation af uofficielle globale temaer og widgets til KDE efter en hændelse, hvor alle personlige filer blev slettet fra en bruger, der installerede Gray Layout-temaet fra KDE Store, som har omkring 4000 downloads. Det menes, at hændelsen ikke var forårsaget af ondsindet hensigt, men af ​​en fejl relateret til den usikre brug af kommandoen "rm -rf".

KDE's globale temaer giver mulighed for at bruge plasmoider, der kører vilkårlige kommandoer, som blandt andet kan bruges til at slette filer. Når du bruger konstruktioner som "rm -rf $VAR/*" i din kode, kan der opstå en situation, hvor $VAR-variablen ikke initialiseres, hvilket vil føre til den faktiske udførelse af kommandoen "rm -rf /*". Tidligere opstod lignende fejl i initialiseringsscriptsene for Squid, Steam og Bumblebee.

Hændelsen, der opstod, er forbundet med et kald til kode fra PlasmaConfSaver-widgetten, som indeholder et save.sh-script, der sletter gamle konfigurationsfiler fra den forrige installation. Filerne slettes ved hjælp af kommandoen "rm -Rf "$configFolder", på trods af at koden ikke kontrollerer installationen af ​​variablen $configFolder, hvis værdi sendes gennem kommandolinjeargumentet ("configFolder=$2"). Koden var oprindeligt beregnet til brug i KDE 5, men på grund af ændringer i KDE 6 kunne logikken for kald af handlere blive ødelagt, og variablen kunne indeholde en værdi, der ville slette alle brugerdata (for eksempel, i stedet for at køre "sh save.sh somepath/ ...", kunne koden "sh save.sh somepath / ..." udføres, hvilket resulterer i, at variablen configFolder indeholder værdien "/").

KDE-udviklere har til hensigt at revidere tredjepartstemaer indsendt til KDE Store-kataloget for at identificere lignende fejl og organisere visningen af ​​advarsler, når de installerer temaer indsendt af tredjepartsbrugere. Derudover diskuteres spørgsmålet om indførelse af en foreløbig kontrol af projekter, der er postet i KDE Store, for at modvirke angribernes målrettede placering af designtemaer, der sigter mod at udføre ondsindede handlinger, såsom at stjæle fortrolige data og starte processer til at erstatte krypto-pung-numre i udklipsholderen.

Som regel er mange brugere ikke klar over, at kode kan blive udført, når de installerer et tema, så de er ikke opmærksomme på sikkerheden, når de installerer temaer. Globale temaer påvirker ikke kun udseendet, men ændrer også Plasmas adfærd og kan omfatte deres egne implementeringer af skærmskabe og applets, dvs. komponenter, der udfører kode. På grund af manglen på ressourcer kontrolleres projekter placeret i KDE Store bibliotek ikke på nogen måde og placeres udelukkende på grundlag af tillid, selvom alle kan registrere sig i biblioteket.

Kilde: opennet.ru

Køb pålidelig hosting til websteder med DDoS-beskyttelse, VPS VDS-servere 🔥 Køb pålidelig webhosting med DDoS-beskyttelse, VPS VDS-servere | ProHoster