Cuando hablamos sobre Plasma, por lo menos un servidor, lo hacemos para contar todas las bondades que nos ofrece el precioso, fluido y lleno de opciones escritorio de KDE, pero hoy tenemos que dar noticias menos buenas. Tal y como recogen en ZDNet, un investigador de seguridad ha encontrado una vulnerabilidad en Plasma y ha publicado una prueba de concepto explotando el fallo de seguridad existente en el Framework de KDE. Ahora mismo no hay ninguna solución disponible, más allá de una temporal en forma de previsión que KDE Community ha publicado en Twitter.
Lo primero es lo primero. Antes de seguir con el artículo tenemos que decir que KDE ya está trabajando para solucionar el fallo de seguridad recientemente descubierto. Más importante todavía que saber que trabajan para solucionar el fallo es la solución temporal que nos ofrecen: lo que NO tenemos que hacer es descargar archivos con extensión .desktop o .directory de fuentes no fiables. Resumiendo, no tenemos que hacer algo que se supone que no tenemos que hacer nunca, pero esta vez con más razón.
Cómo funciona la vulnerabilidad de Plasma descubierta
El problema está en cómo gestiona KDesktopFile los archivos .desktop y .directory mencionados. Se descubrió que se podían crear archivos .desktop y .directory con código malicioso que podían usarse para ejecutar dicho código en el ordenador de la víctima. Cuando un usuario de Plasma abre el gestor de archivos de KDE para acceder al directorio donde se han almacenado estos archivos, el código malicioso se ejecuta sin la interacción del usuario.
En la parte técnica, la vulnerabilidad se puede usar para almacenar comandos shell dentro de las entradas estándar “Icon” encontradas en los archivos .desktop y .directory. Quien descubrió el fallo dice que KDE “ejecutará nuestra orden cuando sea que el archivo se vea“.
Fallo catalogado de poca gravedad: hay que usar ingeniería social
Los expertos de seguridad no catalogan el fallo como muy grave, principalmente porque hay que conseguir que descarguemos el archivo en nuestro ordenador. No pueden catalogarlo como grave porque los archivos .desktop y .directory son muy poco comunes, es decir, no es normal que los descarguemos por internet. Teniendo esto en cuenta, se supone que nos tienen que engañar para que descarguemos un archivo con el código malicioso necesario para explotar esta vulnerabilidad.
Para valorar todas las posibilidades, el usuario malintencionado podría comprimir los archivos en ZIP o TAR y, cuando lo des comprimiéramos y visualizaramos el contenido, el código malicioso se ejecutaría sin que nos diéramos cuenta. Aún más, el exploit podría usarse para descargar el archivo en nuestro sistema sin que interaccionemos con él.
Quien descubrió el falo, Penner, no se lo comunicó a KDE Community porque “Principalmente solo quería dejar un 0day antes de Defcon. Planeo informarlo, pero el problema es más un fallo de diseño que una vulnerabilidad real, a pesar de lo que puede hacer“. Por otra parte, a KDE Community, como era de esperar, no le ha hecho mucha gracia que se publique un fallo antes de que se lo comuniquen a ellos, pero se han limitado a decir que “Agradeceríamos que contactaran con
Vulnerables Plasma 5 y KDE 4
Los más nuevos en el mundo de KDE sabéis que el entorno gráfico se llama Plasma, pero no siempre fue así. Las tres primeras versiones se llamaron KDE, mientras que la cuarta se llamó KDE Software Compilation 4. Nombre aparte, las versiones vulnerables son KDE 4 y Plasma 5. La quinta versión se lanzó en 2014, por lo que es difícil que alguien esté usando KDE 4.
En cualquier caso y a la espera de que KDE Community lance el parche en el que ya están trabajando, por el momento no os fiéis de nadie que os envíe un archivo .desktop o .directory. Esto es algo que debemos hacer siempre, pero ahora con más motivo. Confío en KDE Community y en que en pocos días estará todo solucionado.
Fuente: ubunlog
