KDE projekt on soovitanud mitte installida mitteametlikke globaalseid teemasid ja vidinaid KDE jaoks pÀrast juhtumit, mille kÀigus kustutati kÔik isiklikud failid kasutajalt, kes installis KDE poest halli paigutuse teema (umbes 4000 allalaadimist). Arvatakse, et intsidendi pÔhjuseks ei olnud pahatahtlik kavatsus, vaid viga, mis on seotud kÀsu "rm -rf" ebaturvalise kasutamisega.
KDE globaalsed teemad vÔimaldavad kasutada plasmoide, mis kÀitavad suvalisi kÀske, mida saab muu hulgas kasutada failide kustutamiseks. Kui kasutate koodis selliseid konstruktsioone nagu "rm -rf $VAR/*", vÔib tekkida olukord, kui muutuja $VAR initsialiseerimata, mis viib kÀsu "rm -rf /*" tegeliku tÀitmiseni. Varem ilmnesid sarnased vead Squidi, Steami ja Bumblebee initsialiseerimisskriptides.
Juhtum on seotud PlasmaConfSaveri vidina helistamiskoodiga, mis sisaldab skripti save.sh, mis kustutab viimasest installist alles jÀÀnud vanad konfiguratsioonifailid. Failid kustutatakse kĂ€suga ârm -Rf â$configFolderâ, hoolimata sellest, et kood ei kontrolli muutuja $configFolder seadistust, mille vÀÀrtus edastatakse kĂ€surea argumendi kaudu (âconfigFolder=$2â). . Kood oli algselt mĂ”eldud kasutamiseks KDE 5-s, kuid muudatuste tĂ”ttu KDE 6-s vĂ”ib töötlejate kutsumise loogika puruneda ja muutuja tulemuseks on vÀÀrtus, mis kustutab kĂ”ik kasutajaandmed (nĂ€iteks selle asemel, et kĂ€ivitada " sh save.sh somepath/ ..." oleks vĂ”inud kĂ€ivitada kood "sh save.sh somepath / ...", mille tulemuseks on muutujas configFolder vÀÀrtus "/".
KDE arendajad kavatsevad auditeerida KDE poe kataloogi postitatud kolmandate osapoolte teemasid, et tuvastada sarnased vead, ning korraldada ka hoiatusi kolmandate osapoolte kasutajate postitatud teemade installimisel. Lisaks arutatakse KDE poes hostitavate projektide eelsĂ”elumise juurutamise kĂŒsimust, et vĂ”idelda teemade sihipĂ€rase paigutuse vastu rĂŒndajate poolt, mille eesmĂ€rk on sooritada pahatahtlikke toiminguid, nagu tundlike andmete varastamine ja protsesside kĂ€ivitamine, et petta krĂŒptorahakoti numbreid. lĂ”ikelaud.
Tavaliselt ei eelda paljud kasutajad, et teema installimisel vĂ”idakse koodi kĂ€ivitada, mistĂ”ttu ei pööra nad teemade installimisel turvalisusele piisavalt tĂ€helepanu. Globaalsed teemad ei mĂ”juta mitte ainult vĂ€limust, vaid muudavad ka Plasma kĂ€itumist ning vĂ”ivad sisaldada oma ekraanilukkude ja aplettide teostusi, st. komponendid, mis koodi kĂ€ivitavad. Ressursipuuduse tĂ”ttu ei kontrollita KDE poe kataloogi postitatud projekte mingil viisil ja need paigutatakse ainult usalduse alusel, hoolimata sellest, et kataloogis saab registreeruda igaĂŒks.
Allikas: opennet.ru
