Incident waarbij het KDE-thema gebruikersbestanden verwijdert

Het KDE-project heeft afgeraden om onofficiële globale thema's en widgets voor KDE te installeren na een incident waarbij alle persoonlijke bestanden werden verwijderd van een gebruiker die het Gray Layout-thema had geïnstalleerd via de KDE Store, dat ongeveer 4000 keer is gedownload. Men vermoedt dat het incident niet door kwade bedoelingen is veroorzaakt, maar door een bug die verband houdt met het onveilige gebruik van de opdracht "rm -rf".

De globale thema's van KDE bieden de mogelijkheid om plasmoids te gebruiken die willekeurige opdrachten uitvoeren, waarmee onder andere bestanden kunnen worden verwijderd. Wanneer u constructies zoals "rm -rf $VAR/*" in uw code gebruikt, kan er een situatie ontstaan ​​waarbij de $VAR variabele niet is geïnitialiseerd, wat leidt tot de daadwerkelijke uitvoering van de opdracht "rm -rf /*". Eerder kwamen vergelijkbare fouten voor in de initialisatiescripts van Squid, Steam en bumblebee.

Het incident dat zich heeft voorgedaan, is gekoppeld aan een aanroep van code vanuit de PlasmaConfSaver-widget, die een save.sh-script bevat dat oude configuratiebestanden verwijdert die zijn overgebleven van de vorige installatie. De bestanden worden verwijderd met de opdracht "rm -Rf "$configFolder", ondanks het feit dat de code de installatie van de variabele $configFolder, waarvan de waarde via het opdrachtregelargument ("configFolder=$2") wordt doorgegeven, niet controleert. De code was oorspronkelijk bedoeld voor gebruik in KDE 5, maar door wijzigingen in KDE 6 kon de logica voor het aanroepen van handlers verstoord raken en kon de variabele een waarde bevatten die alle gebruikersgegevens zou verwijderen (in plaats van "sh save.sh somepath/ ..." kon bijvoorbeeld de code "sh save.sh somepath / ..." worden uitgevoerd, waardoor de variabele configFolder de waarde "/" zou bevatten).

KDE-ontwikkelaars zijn van plan om thema's van derden die in de KDE Store-catalogus zijn geplaatst, te controleren om soortgelijke fouten te identificeren. Ook willen ze de weergave van waarschuwingen regelen bij de installatie van thema's die door gebruikers van derden zijn geplaatst. Daarnaast wordt er gesproken over het invoeren van een voorlopige controle op projecten die in de KDE Store worden geplaatst. Dit is bedoeld om aanvallers aan te pakken die op een gerichte manier ontwerpthema's plaatsen die gericht zijn op het uitvoeren van kwaadaardige acties, zoals het stelen van vertrouwelijke gegevens en het starten van processen om crypto-wallet-nummers in het klembord te vervangen.

Veel gebruikers realiseren zich niet dat er bij de installatie van een thema code kan worden uitgevoerd. Daarom besteden ze niet voldoende aandacht aan de beveiliging bij de installatie van thema's. Globale thema's hebben niet alleen invloed op het uiterlijk, maar veranderen ook het gedrag van Plasma. Bovendien kunnen ze hun eigen implementaties van schermvergrendelingen en applets bevatten (componenten die code uitvoeren). Omdat er onvoldoende bronnen zijn, worden projecten die in de KDE Store-map worden geplaatst, op geen enkele manier gecontroleerd en worden ze uitsluitend op basis van vertrouwen geplaatst. Iedereen kan zich echter wel in de map registreren.

Bron: opennet.ru

Koop betrouwbare hosting voor sites met DDoS-bescherming, VPS VDS-servers 🔥 Koop betrouwbare websitehosting met DDoS-bescherming, VPS- en VDS-servers | ProHoster