Deutsch
English
Español
Français
Italiano
Nederlands
Português
Русский
Türkçe
Svenska
Chinese
MagyarKoszmar bezpieczeństwa motywów KDE Plasma: funkcja skryptowa może uruchamiać polecenia roota, w tym najgorszy mem Linuksa
Jedną z zalet oprogramowania open-source, takiego jak wiele dystrybucji Linuksa, jest to, że każdy, kto ma wiedzę i zainteresowanie, może dodać coś od siebie. Zwykle ta otwartość pomaga uczynić oprogramowanie open-source bezpieczniejszym, ale najwyraźniej stało się odwrotnie w przypadku obsługi globalnych motywów w KDE Plasma.
Niedawno użytkownik subreddita r/openSUSE odkrył, że globalny motyw KDE Plasma o nazwie Grey Layout był w stanie w jakiś sposób usunąć wszystkie dane użytkownika na wszystkich zamontowanych dyskach, do których zalogowany użytkownik miał dostęp. Skutkowało to usunięciem całego komputera użytkownika, w tym niezbędnych plików systemu operacyjnego.
Chociaż motyw, o którym mowa, został usunięty ze sklepu KDE, według dewelopera KDE Nate Graham, jest kilka aspektów tego incydentu, które się wyróżniają. Fakt, że temat był hostowany w oficjalnym sklepie KDE jest niepokojący, ponieważ typową radą udzielaną przez doświadczonych użytkowników Linuksa jest bardzo sceptyczne podejście do oprogramowania z nieoficjalnych źródeł.
To powiedziawszy, KDE ma ostrzeżenie w Sklepie KDE dotyczące treści przesłanych przez użytkowników, które nie są audytowane ani zatwierdzane przez zespół KDE, a David Edmundson z KDE powiedział w blogu na ten temat że zaleca organizacjom korzystającym z KDE ograniczenie użytkownikom możliwości instalowania aplikacji innych firm z odrobiną kodu.
Co więcej, Edmundson podkreślił, że KDE musi poprawić sposób, w jaki oddziela bezpieczną (zawartość zawierającą tylko metadane) i niebezpieczną zawartość (która może zawierać skrypty i tym podobne), a także sposób, w jaki informuje użytkowników o ryzyku i przedstawia im "progi zwalniające" podczas instalowania potencjalnie niebezpiecznej zawartości.
"Musimy poprawić równowagę w dostępie do treści stron trzecich, które pozwalają twórcom na udostępnianie, a użytkownikom na łatwe uzyskiwanie tych treści, z wystarczającą liczbą przeszkód i kontroli, aby każdy wiedział, jakie ryzyko się z tym wiąże.
W dłuższej perspektywie musimy poczynić postępy w dwóch obszarach. Musimy upewnić się, że oddzielamy "bezpieczną" zawartość, w której są tylko metadane i treść, od "niebezpiecznej" zawartości z zawartością skryptową.
Następnie możemy przyjrzeć się zapewnieniu kurateli i audytu jako części procesu sklepu w połączeniu z powolną poprawą obsługi piaskownicy".
Ostatecznie, przypadki takie jak te podkreślają, w jaki sposób otwartość i swobody Linuksa mogą negatywnie wpływać na użytkowników końcowych, jeśli nie zostaną prawidłowo wdrożone. Chociaż nie był to złośliwy atak, stwarza on możliwość złośliwego ataku i ogólnie zwiększa nieufność zarówno do Linuksa, jak i projektów takich jak KDE. Patrząc w przyszłość, wydaje się, że możemy spodziewać się nowych ostrzeżeń dotyczących bezpieczeństwa treści w Sklepie KDE i być może nieco mniej wygodnych metod instalowania treści stron trzecich.
Jeśli chcą Państwo zapoznać się z Linuksem w nieco bezpieczniejszy sposób, proszę wypróbować Valve Steam Deck(https://www.amazon.com/Valve-Steam-Deck-64-GB/dp/B0BFC555RF), który działa na SteamOS - niezmiennej, kontenerowej wersji Arch Linux. Alternatywnie, proszę wypróbować oparty na systemie Windows Asus ROG Ally z procesorem AMD Ryzen Z1 Extreme(obecnie 599,99 USD w Best Buy).
Źródło(a)
