Новости Разработчики KDE предупредили, что темы способны удалять пользовательские файлы

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.612
Репутация
11.595
Реакции
61.526
RUB
50
На прошлой неделе разработчики KDE пользователей Linux о необходимости соблюдать «крайнюю осторожность» при установке глобальных тем, даже из официального магазина KDE Store.


Дело в том, что эти темы способны выполнять произвольный код на устройствах для кастомизации внешнего вида рабочего стола.

Сейчас любой желающий может загружать новые темы, плагины и дополнения в KDE Store, и никаких проверок на вредоносное поведение не требуется. При этом разработчики сообщили, что в настоящее время у них не хватает ресурсов для проверки кода каждой глобальной темы, которую предлагается включить в официальный магазин. А если темы окажутся неисправными или вредоносными, это может привести к неожиданным последствиям.

ocr


«Глобальные темы и виджеты, созданные сторонними разработчиками для Plasma, могут и будут выполнять произвольный код. Мы рекомендуем вам проявлять крайнюю осторожность при использовании этих продуктов. Глобальные темы меняют не только внешний вид Plasma, но и поведение. Для этого они выполняют код, а этот код может работать некорректно. То же самое касается виджетов и плазмоидов», — сообщают в KDE.

Поводом для публикации этого предупреждения послужила , который рассказал, что после установки одной из глобальных тем для Plasma он потерял все свои файлы. Дело в том, что после установки тема удалила все личные данные с подключенных дисков с помощью rm -rf.

«Она [тема] выполняет rm -rf от вашего имени и немедленно удаляет все личные данные. Без вопросов, — рассказал пострадавший. — Я отменил действие, когда она запросила мой root-пароль, но для моих личных данных было уже слишком поздно. Все диски, смонтированные под моим пользователем, были очищены до 0 байт. Игровые конфигурации, данные браузера, домашняя папка, все исчезло».

Хотя проблемная тема, от которой пострадал пользователь, в итоге была удалена из KDE Store, установка других глобальных тем тоже может привести к потере данных и другим неприятным последствиям.

Учитывая риски, связанные с установкой непроверенных решений для Plasma, KDE просит комьюнити сообщать о некачественном и потенциально опасном ПО, уже доступном в KDE Store. Также разработчики пообещали следить за содержимым магазина и доработать предупреждения, которые видят пользователи перед установкой тем и плагинов, созданных сообществом. Однако все это потребует «времени и ресурсов», а пока пользователям рекомендуется проявлять осторожность при установке и запуске софта.


Предупреждение о контенте, созданном сообществом


 
Сверху Снизу