Cauchemar de sécurité pour le thème KDE Plasma : la fonction de script peut exécuter des commandes root, y compris le pire mème Linux
L'un des avantages des logiciels libres, comme le préfèrent de nombreuses distributions Linux, est que toute personne possédant le savoir-faire et l'intérêt nécessaires peut enrichir l'expérience. En général, cette ouverture contribue à rendre les logiciels open-source plus sûrs, mais c'est apparemment le contraire qui s'est produit avec la prise en charge du thème global de KDE Plasma.
Un utilisateur a récemment découvert sur le subreddit r/openSUSE qu'un thème global de KDE Plasma appelé Grey Layout était capable d'effacer toutes les données de l'utilisateur sur tous les disques montés auxquels l'utilisateur connecté avait le droit d'accéder. Cela a eu pour effet d'effacer l'ensemble de l'ordinateur de l'utilisateur, y compris les fichiers nécessaires au système d'exploitation.
Bien que le thème en question ait été retiré de la boutique KDE, selon le développeur KDE Nate Grahamnate Graham, il y a quelques aspects de l'incident qui méritent d'être soulignés. Le fait que le thème ait été spécifiquement hébergé sur la boutique officielle de KDE est préoccupant, car les utilisateurs expérimentés de Linux conseillent généralement d'être très sceptiques à l'égard des logiciels provenant de sources non officielles.
Cela dit, la boutique KDE comporte un avertissement concernant le contenu soumis par les utilisateurs, qui n'est ni vérifié ni approuvé par l'équipe KDE, et David Edmundson, de KDE, a déclaré à l'adresse un blog sur le sujet qu'il recommande aux organisations utilisant KDE d'empêcher leurs utilisateurs d'installer des applications tierces contenant un peu de code.
En outre, M. Edmundson a souligné que KDE doit améliorer la manière dont il sépare les contenus sûrs (qui ne contiennent que des métadonnées) des contenus non sûrs (qui peuvent contenir des scripts et autres), ainsi que la manière dont il communique les risques aux utilisateurs et leur présente des "ralentisseurs" lorsqu'ils installent des contenus potentiellement non sûrs.
"Nous devons améliorer l'équilibre entre l'accès au contenu de tiers qui permet aux créateurs de partager et aux utilisateurs d'obtenir ce contenu facilement, avec suffisamment de ralentisseurs et de contrôles pour que chacun sache quels sont les risques encourus.
À plus long terme, nous devons progresser dans deux directions. Nous devons nous assurer que nous séparons le contenu "sûr", où il n'y a que des métadonnées et du contenu, du contenu "dangereux" avec du contenu scriptable.
Ensuite, nous pouvons envisager de fournir une curation et un audit dans le cadre du processus de stockage, en combinaison avec une amélioration progressive de la prise en charge des bacs à sable.
En fin de compte, des cas comme celui-ci mettent en évidence la façon dont l'ouverture et les libertés de Linux peuvent affecter les utilisateurs finaux de manière négative si elles ne sont pas mises en œuvre correctement. Bien qu'il ne s'agisse pas d'une attaque malveillante, elle présente la possibilité d'une attaque malveillante et augmente généralement la méfiance à l'égard de Linux et de projets tels que KDE. Pour l'avenir, il semble que nous puissions nous attendre à de nouveaux avertissements de sécurité pour le KDE Store et peut-être à des méthodes d'installation de contenu tiers un peu moins pratiques.
Si vous souhaitez vous familiariser avec Linux d'une manière un peu plus sûre, essayez le Valve Steam Deck(https://www.amazon.com/Valve-Steam-Deck-64-GB/dp/B0BFC555RF), qui fonctionne sous SteamOS, une version immuable et conteneurisée d'Arch Linux. Vous pouvez également vous tourner vers l'Asus ROG Ally sous Windows, équipé du Ryzen Z1 Extreme d'AMD(599,99 $ actuellement chez Best Buy).
