Plasma apresenta falha de segurança

kde
kde

O ambiente de desktop Plasma é conhecido por sua beleza e fluidez. São várias as opções oferecidas por esta área de trabalho do KDE. No entanto, ela tem problemas. Uma falha grave no ambiente foi divulgada no Twitter por um pesquisador de segurança. Ele encontrou uma vulnerabilidade no Plasma e publicou uma prova de conceito explorando a falha de segurança no KDE Frameworks. No momento, não há solução disponível, além de uma previsão temporária que a Comunidade do KDE publicou no Twitter. Portanto, o Plasma apresenta falha de segurança.

Antes de mais nada é preciso reforçar que o KDE já está trabalhando para resolver a falha de segurança recentemente descoberta. Porém, por enquanto, só nos resta tomar uma atitude: NÃO podemos baixar arquivos com uma extensão .desktop ou .directory de fontes não confiáveis. Em suma, não temos que fazer algo que nunca devemos fazer. No entanto, desta vez com atenção redobrada.

Como foi descoberta a falha de segurança no Plasma

O problema é como o KDesktopFile gerencia os arquivos .desktop e .directory já mencionados. Descobriu-se que esses arquivos poderiam ser criados com códigos maliciosos. Assim, estaria aberto o caminho para que fossem usados ??para executar esse código no computador da vítima.

Então, quando um usuário do Plasma abre o gerenciador de arquivos do KDE para acessar o diretório onde esses arquivos foram armazenados, o código malicioso é executado sem interação do usuário.

Na parte técnica, a vulnerabilidade pode ser usada para armazenar comandos shell dentro das entradas padrão “Icon” encontradas nos arquivos .desktop e .directory. Quem descobriu o bug diz que o KDE “executará nosso pedido sempre que o arquivo for visualizado“.

Erro catalogado de baixa severidade: engenharia social deve ser usada

— Dominik (@zer0pwn) August 5, 2019

Especialistas em segurança não classificam a falha como muito séria. Principalmente porque temos que baixar o arquivo para o nosso computador. Eles não podem catalogar como algo sério, porque os arquivos .desktop e .directory são muito raros. Portanto, não é normal fazer o download deles on-line. Com isso em mente, devemos nos convencer a baixar um arquivo com o código malicioso necessário para explorar essa vulnerabilidade.

Para avaliar todas as possibilidades, o usuário malintencionado poderia compactar os arquivos em ZIP ou TAR. Então, quando compactamos e visualizamos o conteúdo, o código malicioso seria executado sem que percebêssemos. Ainda mais, a exploração poderia ser usada para baixar o arquivo para o nosso sistema sem interagir com ele.

Inicialmente, o problema não foi comunicado à Comunidade KDE.

Segundo o especialista, ele queria apenas deixar um dia antes da Defcon. Eu pretendo relatar isso, mas o problema é mais uma falha de design do que uma vulnerabilidade real, apesar do que ele pode fazer.

Por outro lado, a Comunidade KDE, como esperado, não achou nada engraçado que um problema como este seja publicado antes que eles comuniquem isso a eles. Porém, eles simplesmente disseram 

Nós agradeceríamos se você contatasse security@kde.org antes de lançar uma exploração ao público para que pudéssemos decidir juntos em um cronograma.

Injeção de Comando do KDE 4/5 KDesktopFile

Plasma 5 e KDE 4 vulneráveis

KDE Applications 19.08 já está disponível em beta

As versões vulneráveis ??são o KDE 4 e o Plasma 5. A quinta versão foi lançada em 2014, então é difícil alguém usar o KDE 4.

De qualquer forma, é aguardar que a Comunidade KDE lance o patch em que eles já estão trabalhando. Assim, no momento, não confie em ninguém que lhe envie um arquivo .desktop ou .directory.

Acesse a versão completa
Sair da versão mobile