Notebookcheck Logo

Pesadelo de segurança do tema do KDE Plasma: o recurso de script pode executar comandos de root, incluindo o pior meme do Linux

Os Temas Globais do KDE permitem que os scripts executem comandos como o usuário root, resultando em um possível risco de segurança para os usuários do ambiente de trabalho Linux. (Fonte da imagem: KDE - editado)
Os Temas Globais do KDE permitem que os scripts executem comandos como o usuário root, resultando em um possível risco de segurança para os usuários do ambiente de trabalho Linux. (Fonte da imagem: KDE - editado)
Os Temas Globais do KDE Plasma podem executar scripts em segundo plano, que podem executar comandos como um usuário root, incluindo o infame "sudo rm -rf", que limpa a partição root do usuário, causando uma perda significativa de dados. O KDE está ciente do problema, mas nenhuma correção foi emitida.

Um dos benefícios do software de código aberto, como muitas distribuições Linux preferem, é que qualquer pessoa com o conhecimento e o interesse pode contribuir para a experiência. Normalmente, essa abertura ajuda a tornar o software de código aberto mais seguro, mas o oposto aparentemente aconteceu com o suporte ao Global Theme do KDE Plasma.

Foi descoberto recentemente por um usuário no subreddit r/openSUSE que um Tema Global do KDE Plasma chamado Grey Layout foi capaz de apagar de alguma forma todos os dados do usuário em todas as unidades montadas que o usuário conectado tinha permissão para acessar. Isso efetivamente resultou no apagamento de todo o computador do usuário, incluindo os arquivos necessários do sistema operacional.

Embora o tema em questão tenha sido removido da Loja do KDE, de acordo com o desenvolvedor do KDE Nate Grahamhá alguns aspectos do incidente que se destacam. O fato de o tema ter sido hospedado especificamente na KDE Store oficial é preocupante, porque o conselho típico dado por usuários experientes do Linux é ser muito cético em relação a softwares de fontes não oficiais.

Dito isso, o KDE tem um aviso na Loja do KDE sobre o conteúdo enviado pelo usuário não ser auditado ou endossado pela equipe do KDE, e David Edmundson do KDE disse em um blog sobre o assunto que ele recomenda que as organizações que executam o KDE restrinjam seus usuários de instalar aplicativos de terceiros com um pouco de código.

Além disso, Edmundson enfatizou que o KDE precisa melhorar a forma como ele separa o conteúdo seguro (conteúdo com apenas metadados) do conteúdo inseguro (que pode conter scripts e similares), bem como a forma como ele comunica os riscos aos usuários e apresenta "obstáculos" aos usuários ao instalar conteúdo potencialmente inseguro.

"Precisamos melhorar o equilíbrio do acesso a conteúdo de terceiros que permita que os criadores compartilhem e que os usuários obtenham esse conteúdo com facilidade, com barreiras e verificações suficientes para que todos saibam quais são os riscos envolvidos.

A longo prazo, precisamos avançar em dois caminhos. Precisamos nos certificar de que separamos o conteúdo "seguro", em que há apenas metadados e conteúdo, do conteúdo "inseguro", com conteúdo programável.

Em seguida, podemos considerar o fornecimento de curadoria e auditoria como parte do processo de armazenamento, em combinação com a melhoria lenta do suporte a sandbox."

Em última análise, casos como esse destacam como a abertura e as liberdades do Linux podem afetar negativamente os usuários finais se não forem implementadas corretamente. Embora esse não tenha sido um ataque malicioso, ele apresenta a possibilidade de um ataque malicioso e, em geral, aumenta a desconfiança tanto no Linux quanto em projetos como o KDE. Olhando para o futuro, parece que podemos esperar novos avisos de segurança de conteúdo para a KDE Store e talvez métodos um pouco menos convenientes de instalar conteúdo de terceiros.

Se quiser entrar no Linux de uma forma um pouco mais segura, experimente o Valve Steam Deck(https://www.amazon.com/Valve-Steam-Deck-64-GB/dp/B0BFC555RF), que roda no SteamOS - uma versão imutável e em contêiner do Arch Linux. Como alternativa, o senhor pode conferir o Asus ROG Ally baseado em Windows com o Ryzen Z1 Extreme da AMD(atualmente por US$ 599,99 na Best Buy).

Please share our article, every link counts!
Mail Logo
> Análises e revisões de portáteis e celulares > Arquivo de notícias 2024 03 > Pesadelo de segurança do tema do KDE Plasma: o recurso de script pode executar comandos de root, incluindo o pior meme do Linux
Julian van der Merwe, 2024-03-26 (Update: 2024-03-26)