Το έργο KDE συνέστησε να μην εγκατασταθούν ανεπίσημα παγκόσμια θέματα και γραφικά στοιχεία για το KDE μετά από ένα περιστατικό κατά το οποίο διαγράφηκαν όλα τα προσωπικά αρχεία ενός χρήστη που εγκατέστησε το θέμα Gray Layout από το KDE Store, το οποίο έχει περίπου 4000 λήψεις. Πιστεύεται ότι το περιστατικό δεν προκλήθηκε από κακόβουλη πρόθεση, αλλά από ένα σφάλμα που σχετίζεται με την μη ασφαλή χρήση της εντολής "rm -rf".
Τα καθολικά θέματα του KDE παρέχουν τη δυνατότητα χρήσης πλασμοειδών που εκτελούν αυθαίρετες εντολές, οι οποίες μπορούν να χρησιμοποιηθούν για τη διαγραφή αρχείων, μεταξύ άλλων. Όταν χρησιμοποιείτε δομές όπως "rm -rf $VAR/*" στον κώδικά σας, ενδέχεται να προκύψει μια κατάσταση όπου η μεταβλητή $VAR δεν έχει αρχικοποιηθεί, γεγονός που θα οδηγήσει στην πραγματική εκτέλεση της εντολής "rm -rf /*". Προηγουμένως, παρόμοια σφάλματα εμφανίστηκαν στα σενάρια αρχικοποίησης των Squid, Steam και bumblebee.
Το περιστατικό που συνέβη σχετίζεται με μια κλήση κώδικα από το γραφικό στοιχείο PlasmaConfSaver, το οποίο περιέχει ένα σενάριο save.sh που διαγράφει παλιά αρχεία ρυθμίσεων που έχουν απομείνει από την προηγούμενη εγκατάσταση. Τα αρχεία διαγράφονται χρησιμοποιώντας την εντολή "rm -Rf "$configFolder", παρά το γεγονός ότι ο κώδικας δεν ελέγχει την εγκατάσταση της μεταβλητής $configFolder, η τιμή της οποίας μεταβιβάζεται μέσω του ορίσματος γραμμής εντολών ("configFolder=$2"). Ο κώδικας προοριζόταν αρχικά για χρήση στο KDE 5, αλλά λόγω αλλαγών στο KDE 6, η λογική κλήσης των χειριστών θα μπορούσε να είναι προβληματική και η μεταβλητή θα μπορούσε να περιέχει μια τιμή που θα διαγράφει όλα τα δεδομένα χρήστη (για παράδειγμα, αντί να εκτελεστεί το "sh save.sh somepath/ ...", θα μπορούσε να εκτελεστεί ο κώδικας "sh save.sh somepath / ...", με αποτέλεσμα η μεταβλητή configFolder να περιέχει την τιμή "/").
Οι προγραμματιστές του KDE σκοπεύουν να ελέγξουν θέματα τρίτων που έχουν αναρτηθεί στον κατάλογο του KDE Store για να εντοπίσουν παρόμοια σφάλματα και επίσης να οργανώσουν την εμφάνιση προειδοποιήσεων κατά την εγκατάσταση θεμάτων που έχουν αναρτηθεί από χρήστες τρίτων. Επιπλέον, συζητείται το ζήτημα της εισαγωγής ενός προκαταρκτικού ελέγχου των έργων που δημοσιεύονται στο KDE Store, προκειμένου να αντιμετωπιστεί η στοχευμένη τοποθέτηση θεμάτων σχεδίασης από εισβολείς που στοχεύουν στην εκτέλεση κακόβουλων ενεργειών, όπως η κλοπή εμπιστευτικών δεδομένων και η εκκίνηση διαδικασιών για την αντικατάσταση αριθμών κρυπτογραφικών πορτοφολιών στο πρόχειρο.
Κατά κανόνα, πολλοί χρήστες δεν συνειδητοποιούν ότι ενδέχεται να εκτελεστεί κώδικας κατά την εγκατάσταση ενός θέματος, επομένως δεν δίνουν τη δέουσα προσοχή στην ασφάλεια κατά την εγκατάσταση θεμάτων. Τα παγκόσμια θέματα όχι μόνο επηρεάζουν την εμφάνιση, αλλά αλλάζουν και τη συμπεριφορά του Plasma και μπορούν να περιλαμβάνουν τις δικές τους υλοποιήσεις κλειδαριών οθόνης και μικροεφαρμογών, δηλαδή στοιχείων που εκτελούν κώδικα. Λόγω έλλειψης πόρων, τα έργα που τοποθετούνται στον κατάλογο KDE Store δεν ελέγχονται με κανέναν τρόπο και τοποθετούνται αποκλειστικά με βάση την αξιοπιστία, αν και ο καθένας μπορεί να εγγραφεί στον κατάλογο.
Πηγή: opennet.ru
