Projekt KDE odporučil neinštalovať neoficiálne globálne témy a widgety pre KDE po incidente, ktorý zahŕňal vymazanie všetkých osobných súborov od používateľa, ktorý si z KDE Store nainštaloval tému Gray Layout s približne 4000 XNUMX stiahnutiami. Predpokladá sa, že incident nebol spôsobený zlým úmyslom, ale chybou súvisiacou s nebezpečným použitím príkazu „rm -rf“.
Globálne témy KDE poskytujú možnosť používať plazmoidy, ktoré spúšťajú ľubovoľné príkazy, ktoré možno okrem iného použiť na mazanie súborov. Pri použití konštrukcií ako „rm -rf $VAR/*“ v kóde môže nastať situácia, keď premenná $VAR nebude inicializovaná, čo povedie k skutočnému vykonaniu príkazu „rm -rf /*“. Predtým sa podobné chyby objavovali v inicializačných skriptoch Squid, Steam a Bumblebee.
Incident je spojený s volaním kódu z widgetu PlasmaConfSaver, ktorý obsahuje skript save.sh, ktorý vymaže staré konfiguračné súbory, ktoré zostali z poslednej inštalácie. Súbory sa vymažú príkazom „rm -Rf „$configFolder“ napriek tomu, že kód nekontroluje nastavenie premennej $configFolder, ktorej hodnota sa odovzdáva cez argument príkazového riadku („configFolder=$2“). . Kód bol pôvodne navrhnutý na použitie v KDE 5, ale v dôsledku zmien v KDE 6 by sa logika volania obslužných programov mohla narušiť a premenná by skončila s hodnotou, ktorá by vymazala všetky údaje používateľa (napríklad namiesto spustenia „ sh save.sh somepath/ ...“ mohol byť vykonaný kód „sh save.sh somepath / ...“, výsledkom čoho je hodnota „/“ v premennej configFolder.
Vývojári KDE majú v úmysle kontrolovať témy tretích strán uverejnené v adresári KDE Store, aby identifikovali podobné chyby a tiež organizovali varovania pri inštalácii tém, ktoré posielajú používatelia tretích strán. Okrem toho sa diskutuje o otázke zavedenia predbežného preverovania projektov hostených v obchode KDE s cieľom čeliť cielenému umiestňovaniu motívov útočníkmi zameranými na vykonávanie škodlivých akcií, ako je krádež citlivých údajov a spúšťanie procesov na sfalšovanie čísel krypto peňaženiek na schránka.
Mnoho používateľov zvyčajne nepredpokladá, že kód môže byť spustený pri inštalácii témy, takže pri inštalácii tém nevenujú náležitú pozornosť bezpečnosti. Globálne témy ovplyvňujú nielen vzhľad, ale menia aj správanie Plazmy a môžu zahŕňať vlastné implementácie uzamykadiel obrazovky a apletov, t.j. komponenty, ktoré vykonávajú kód. Z dôvodu nedostatku zdrojov nie sú projekty zverejnené v adresári KDE Store žiadnym spôsobom overované a sú umiestňované výlučne na základe dôvery, napriek tomu, že do adresára sa môže zaregistrovať ktokoľvek.
Zdroj: opennet.ru
