Beveiligingsnachtmerrie van KDE Plasma theming: scriptfunctie kan rootopdrachten uitvoeren, inclusief de ergste Linux-memo

KDE's Global Themes staan scripts toe om commando's uit te voeren als de root-gebruiker, wat een potentieel veiligheidsrisico oplevert voor gebruikers van de Linux desktopomgeving. (Afbeeldingsbron: KDE - bewerkt)

De Global Themes van KDE Plasma kunnen scripts op de achtergrond uitvoeren, die commando's kunnen uitvoeren als root-gebruiker, waaronder het beruchte "sudo rm -rf", dat de root-partitie van de gebruiker wist, waardoor aanzienlijke gegevens verloren gaan. KDE is op de hoogte van het probleem, maar er is nog geen oplossing voor.

Julian van der Merwe (vertaald door Ninh Duy), Published 26-03-2024 🇺🇸 🇵🇱 ...

Een van de voordelen van open-source software, zoals veel Linux-distributies verkiezen, is dat iedereen met de know-how en interesse iets kan toevoegen aan de ervaring. Meestal helpt deze openheid om open-source software veiliger te maken, maar het tegenovergestelde is blijkbaar gebeurd met de Global Theme-ondersteuning van KDE Plasma.

Onlangs ontdekte een gebruiker op de r/openSUSE subreddit dat een KDE Plasma Global Theme genaamd Grey Layout in staat was om op de een of andere manier alle gegevens van de gebruiker te wissen op alle gemounte schijven waartoe de ingelogde gebruiker toegang had. Dit resulteerde er effectief in dat de hele computer van de gebruiker werd gewist, inclusief de benodigde besturingssysteembestanden.

Hoewel het thema in kwestie uit de KDE Store is verwijderd, zijn er volgens KDE-ontwikkelaar Nate Grahamzijn er een paar aspecten van het incident die opvallen. Het feit dat het thema specifiek gehost werd in de officiële KDE Store is verontrustend, omdat het typische advies van ervaren Linux-gebruikers is om zeer sceptisch te zijn over software van onofficiële bronnen.

Dat gezegd hebbende, KDE heeft een waarschuwing in de KDE Store staan over door gebruikers ingezonden inhoud die niet gecontroleerd of goedgekeurd is door het KDE-team, en David Edmundson van KDE zei in een blog over het onderwerp dat hij organisaties die KDE draaien aanraadt om hun gebruikers te verbieden toepassingen van derden met een beetje code te installeren.

Verder benadrukte Edmundson dat KDE moet verbeteren hoe het veilige (inhoud met alleen metadata) en onveilige inhoud (die scripts en dergelijke kan bevatten) van elkaar scheidt, en ook hoe het de risico's aan gebruikers communiceert en "verkeersdrempels" aan gebruikers presenteert bij het installeren van potentieel onveilige inhoud.

"We moeten het evenwicht verbeteren tussen toegang tot inhoud van derden, zodat makers die inhoud kunnen delen en gebruikers die inhoud gemakkelijk kunnen krijgen, met voldoende drempels en controles zodat iedereen weet welke risico's eraan verbonden zijn.

Op de langere termijn moeten we op twee manieren vooruitgang boeken. We moeten ervoor zorgen dat we de "veilige" inhoud, waar het alleen gaat om metadata en inhoud, scheiden van de "onveilige" inhoud met scriptbare inhoud.

Vervolgens kunnen we kijken naar het aanbieden van curatie en auditing als onderdeel van het winkelproces in combinatie met het langzaam verbeteren van sandbox-ondersteuning."

Uiteindelijk laten gevallen als deze zien hoe de openheid en vrijheden van Linux negatieve gevolgen kunnen hebben voor eindgebruikers als ze niet correct worden geïmplementeerd. Hoewel dit geen kwaadaardige aanval was, biedt het de mogelijkheid voor een kwaadaardige aanval en vergroot het in het algemeen het wantrouwen in zowel Linux als projecten zoals KDE. Vooruitkijkend lijkt het erop dat we nieuwe veiligheidswaarschuwingen voor inhoud voor de KDE Store kunnen verwachten en misschien iets minder handige methodes om inhoud van derden te installeren.

Als u op zoek bent naar een iets veiligere manier om Linux te gebruiken, probeer dan eens het Valve Steam Deck(https://www.amazon.com/Valve-Steam-Deck-64-GB/dp/B0BFC555RF), dat draait op SteamOS - een onveranderlijke, gecontaineriseerde versie van Arch Linux. Een andere mogelijkheid is de Windows-gebaseerde Asus ROG Ally met AMD's Ryzen Z1 Extreme(momenteel $599,99 bij Best Buy).