A KDE Project azt javasolta, hogy ne telepítsenek nem hivatalos globális témákat és widgeteket a KDE-hez egy olyan incidens után, amely során törölték az összes személyes fájlt egy olyan felhasználótól, aki telepítette a Grey Layout témát a KDE Áruházból, körülbelül 4000 letöltéssel. Úgy gondolják, hogy az incidenst nem rosszindulatú szándék okozta, hanem az "rm -rf" parancs nem biztonságos használatához kapcsolódó hiba.
A KDE globális témái lehetőséget biztosítanak tetszőleges parancsokat futtató plazmoidok használatára, amelyek többek között fájlok törlésére is használhatók. Amikor olyan konstrukciókat használunk, mint az „rm -rf $VAR/*” a kódban, olyan helyzet adódhat, amikor a $VAR változó inicializálása megszakad, ami az „rm -rf /*” parancs tényleges végrehajtásához vezet. Korábban hasonló hibák jelentek meg a Squid, a Steam és a Bumblebee inicializálási szkriptjeiben.
Az incidens a PlasmaConfSaver widget kódjának hívásához kapcsolódik, amely egy save.sh szkriptet tartalmaz, amely törli a legutóbbi telepítésből megmaradt régi konfigurációs fájlokat. A fájlok törlése az “rm -Rf “$configFolder” paranccsal történik, annak ellenére, hogy a kód nem ellenőrzi a $configFolder változó beállítását, amelynek értéke a parancssori argumentumban (“configFolder=$2”) kerül átadásra. . A kódot eredetileg a KDE 5-ben való használatra tervezték, de a KDE 6 változásai miatt a kezelők hívásának logikája megszakadhat, és a változó egy olyan értékhez vezet, amely minden felhasználói adatot töröl (például ahelyett, hogy a " sh save.sh somepath/ ..." a „sh save.sh somepath / ...” kód lefuthatott volna, ami a „/” értéket eredményezi a configFolder változóban.
A KDE fejlesztői a KDE Store könyvtárába elhelyezett, harmadik féltől származó témák auditálását tervezik, hogy azonosítsák a hasonló hibákat, és figyelmeztetéseket is szervezzenek a külső felhasználók által közzétett témák telepítésekor. Ezenkívül szóba kerül a KDE Store-ban tárolt projektek előzetes szűrésének bevezetése annak érdekében, hogy megakadályozzák a támadók által rosszindulatú műveletek végrehajtására irányuló témák célzott elhelyezését, például érzékeny adatok ellopását és a kriptotárca számának meghamisítását célzó folyamatok futtatását. vágólapra.
Általában sok felhasználó nem feltételezi, hogy egy téma telepítésekor esetleg kódot lehet futtatni, így nem fordítanak kellő figyelmet a biztonságra a témák telepítésekor. A globális témák nemcsak a megjelenést befolyásolják, hanem megváltoztatják a Plasma viselkedését is, és magukban foglalhatják a képernyőzárak és kisalkalmazások saját megvalósításait, pl. a kódot végrehajtó komponensek. Az erőforrások hiánya miatt a KDE Store könyvtárába felkerült projekteket semmilyen módon nem ellenőrzik, és kizárólag bizalmi alapon helyezik el, annak ellenére, hogy a címtárba bárki regisztrálhat.
Forrás: opennet.ru
