Notebookcheck Logo

Koszmar bezpieczeństwa motywów KDE Plasma: funkcja skryptowa może uruchamiać polecenia roota, w tym najgorszy mem Linuksa

Motywy globalne KDE umożliwiają skryptom uruchamianie poleceń jako użytkownik root, co stanowi potencjalne zagrożenie dla bezpieczeństwa użytkowników środowiska graficznego Linux. (Źródło obrazu: KDE - edytowane)
Motywy globalne KDE umożliwiają skryptom uruchamianie poleceń jako użytkownik root, co stanowi potencjalne zagrożenie dla bezpieczeństwa użytkowników środowiska graficznego Linux. (Źródło obrazu: KDE - edytowane)
Globalne motywy KDE Plasma mogą uruchamiać skrypty w tle, które mogą uruchamiać polecenia jako użytkownik root, w tym niesławne "sudo rm -rf", które wymazuje partycję root użytkownika, powodując znaczną utratę danych. KDE jest świadome tego problemu, ale nie wydano żadnej poprawki.
Linux / Unix Open Source Fail Security Desktop

Jedną z zalet oprogramowania open-source, takiego jak wiele dystrybucji Linuksa, jest to, że każdy, kto ma wiedzę i zainteresowanie, może dodać coś od siebie. Zwykle ta otwartość pomaga uczynić oprogramowanie open-source bezpieczniejszym, ale najwyraźniej stało się odwrotnie w przypadku obsługi globalnych motywów w KDE Plasma.

Niedawno użytkownik subreddita r/openSUSE odkrył, że globalny motyw KDE Plasma o nazwie Grey Layout był w stanie w jakiś sposób usunąć wszystkie dane użytkownika na wszystkich zamontowanych dyskach, do których zalogowany użytkownik miał dostęp. Skutkowało to usunięciem całego komputera użytkownika, w tym niezbędnych plików systemu operacyjnego.

Chociaż motyw, o którym mowa, został usunięty ze sklepu KDE, według dewelopera KDE Nate Graham, jest kilka aspektów tego incydentu, które się wyróżniają. Fakt, że temat był hostowany w oficjalnym sklepie KDE jest niepokojący, ponieważ typową radą udzielaną przez doświadczonych użytkowników Linuksa jest bardzo sceptyczne podejście do oprogramowania z nieoficjalnych źródeł.

To powiedziawszy, KDE ma ostrzeżenie w Sklepie KDE dotyczące treści przesłanych przez użytkowników, które nie są audytowane ani zatwierdzane przez zespół KDE, a David Edmundson z KDE powiedział w blogu na ten temat że zaleca organizacjom korzystającym z KDE ograniczenie użytkownikom możliwości instalowania aplikacji innych firm z odrobiną kodu.

Co więcej, Edmundson podkreślił, że KDE musi poprawić sposób, w jaki oddziela bezpieczną (zawartość zawierającą tylko metadane) i niebezpieczną zawartość (która może zawierać skrypty i tym podobne), a także sposób, w jaki informuje użytkowników o ryzyku i przedstawia im "progi zwalniające" podczas instalowania potencjalnie niebezpiecznej zawartości.

"Musimy poprawić równowagę w dostępie do treści stron trzecich, które pozwalają twórcom na udostępnianie, a użytkownikom na łatwe uzyskiwanie tych treści, z wystarczającą liczbą przeszkód i kontroli, aby każdy wiedział, jakie ryzyko się z tym wiąże.

W dłuższej perspektywie musimy poczynić postępy w dwóch obszarach. Musimy upewnić się, że oddzielamy "bezpieczną" zawartość, w której są tylko metadane i treść, od "niebezpiecznej" zawartości z zawartością skryptową.

Następnie możemy przyjrzeć się zapewnieniu kurateli i audytu jako części procesu sklepu w połączeniu z powolną poprawą obsługi piaskownicy".

Ostatecznie, przypadki takie jak te podkreślają, w jaki sposób otwartość i swobody Linuksa mogą negatywnie wpływać na użytkowników końcowych, jeśli nie zostaną prawidłowo wdrożone. Chociaż nie był to złośliwy atak, stwarza on możliwość złośliwego ataku i ogólnie zwiększa nieufność zarówno do Linuksa, jak i projektów takich jak KDE. Patrząc w przyszłość, wydaje się, że możemy spodziewać się nowych ostrzeżeń dotyczących bezpieczeństwa treści w Sklepie KDE i być może nieco mniej wygodnych metod instalowania treści stron trzecich.

Jeśli chcą Państwo zapoznać się z Linuksem w nieco bezpieczniejszy sposób, proszę wypróbować Valve Steam Deck(https://www.amazon.com/Valve-Steam-Deck-64-GB/dp/B0BFC555RF), który działa na SteamOS - niezmiennej, kontenerowej wersji Arch Linux. Alternatywnie, proszę wypróbować oparty na systemie Windows Asus ROG Ally z procesorem AMD Ryzen Z1 Extreme(obecnie 599,99 USD w Best Buy).

Please share our article, every link counts!
> laptopy testy i recenzje notebooki > Nowinki > Archiwum v2 > Archiwum 2024 03 > Koszmar bezpieczeństwa motywów KDE Plasma: funkcja skryptowa może uruchamiać polecenia roota, w tym najgorszy mem Linuksa
Julian van der Merwe, 2024-03-26 (Update: 2024-03-26)