Descubrieron un fallo de seguridad en Plasma, pero KDE lo ha solucionado en un abrir y cerrar de ojos
Esta semana, el pasado martes, un desarrollador e investigador de seguridad hizo algo que suele ser motivo de crítica: encontrar una vulnerabilidad y publicarla antes de informar a quien desarrolla el software. El desarrollador era Penner y el software en el que encontró el fallo de seguridad era el entorno gráfico Plasma de KDE Community. Si os preguntáis por qué estamos hablando en pasado, lo hacemos porque todo ha pasado muy rápido y KDE Community ya ha entregado los parches que corrigen el fallo.
Pero vayamos por partes: el problema está o estaba en cómo gestiona KDesktopFile los archivos .desktop y .directory. Penner descubrió que se podían crear archivos .desktop y .directory con código malicioso que podían usarse para ejecutar dicho código en el ordenador de una víctima. El código se llega a ejecutar si la interacción del usuario, más allá de que abramos el gestor de archivos de KDE para acceder al directorio en donde hemos almacenado el archivo. Pero que KDE ya haya subido los parches no es la única buena noticia.
El fallo de seguridad de Plasma no es demasiado peligroso
Los investigadores de seguridad aseguran que el fallo recientemente descubierto en Plasma no es demasiado peligroso. Aunque es capaz de provocar daños importantes, lo peligroso no es lo que pueda hacer, sino lo fácil que sea conseguir hacer daño. Para que alguien pueda explotarlo, deberíamos descargar el archivo .desktop o .directory, algo que, debido a lo poco frecuentes que son, es poco probable. De hecho, dicen que para que lo hagamos nos tienen que engañar usando ingeniería social.
Por lo que parece, Penner quería llegar con algo “interesante” al Defcon, una conferencia de seguridad, y no se lo comunicó a KDE Community para llegar con una vulnerabilidad 0day con la que presumir. KDE Community le afeó el gesto con educación, limitándose a decir que habrían agradecido que antes se lo comunicaran a ellos para poder trabajar juntos en la solución.
KDE Community ya ha solucionado el problema
Pero no les ha hecho falta. Poco más de un día después de que se publicara el fallo de seguridad de Plasma ya habían creado y subido el parche a sus repositorios. En el momento de escribir estas líneas, los usuarios de KDE neon ya pueden instalar el parche desde Discover, mientras que otros usuarios de Plasma podremos hacerlo pronto. Una miniserie de dos capítulos que finalizará en las próximas horas.