Notebookcheck Logo

KDE Plasma 主题安全噩梦:脚本功能可运行 root 命令,包括最糟糕的 Linux meme

KDE 的全局主题允许脚本以根用户身份运行命令,这给 Linux 桌面环境的用户带来了潜在的安全隐患。(图片来源:KDE - 已编辑)
KDE 的全局主题允许脚本以根用户身份运行命令,这给 Linux 桌面环境的用户带来了潜在的安全隐患。(图片来源:KDE - 已编辑)
KDE Plasma 的全局主题可以在后台运行脚本,这些脚本可以以 root 用户身份运行命令,包括臭名昭著的 "sudo rm -rf",它会擦除用户的 root 分区,导致大量数据丢失。KDE 意识到了这个问题,但尚未发布修复方案。
Linux / Unix Open Source Fail Security Desktop

开源软件的好处之一,就像许多 Linux 发行版所喜欢的那样,就是任何有技术和兴趣的人都可以增加体验。通常,这种开放性有助于使开源软件更加安全,但 KDE Plasma 的全局主题支持显然发生了相反的情况。

最近,r/openSUSE subreddit 上的一名用户发现,一个名为 "灰色布局 "的 KDE Plasma 全局主题能够以某种方式清除登录用户有权访问的所有挂载驱动器上的所有数据。这实际上导致用户的整个计算机被删除,包括必要的操作系统文件。

据 KDE 开发人员Nate Graham 称,虽然有关主题已从 KDE 商店中删除,但该主题的一些方面仍然存在问题。称,该事件有几个方面值得注意。该主题特别托管在 KDE 官方商店这一事实令人担忧,因为经验丰富的 Linux 用户通常给出的建议是对非官方来源的软件持怀疑态度。

尽管如此,KDE Store 上确实有关于用户提交的内容未经 KDE 团队审核或认可的警告,KDE 的 David Edmundson 在的博客中也提到了这个问题。他建议运行 KDE 的机构限制用户安装带有代码的第三方应用程序。

此外,Edmundson 还强调,KDE 需要改进如何区分安全内容(仅包含元数据的内容)和不安全内容(可能包含脚本等),以及如何向用户传达风险,并在用户安装潜在的不安全内容时为其设置 "减速带"。

"

从长远来看,我们需要在两个方面取得进展。我们需要确保将 "安全 "的内容(只有元数据和内容)与 "不安全 "的内容(可编写脚本的内容)区分开来。

然后,我们可以将提供整理和审核作为存储过程的一部分,并逐步完善沙盒支持"。

归根结底,类似这样的事件凸显了 Linux 的开放性和自由性如果实施不当,会给最终用户带来怎样的负面影响。虽然这不是一次恶意攻击,但它提供了恶意攻击的可能性,普遍增加了人们对 Linux 和 KDE 等项目的不信任。展望未来,我们似乎可以期待在 KDE 商店中出现新的内容安全警告,或许安装第三方内容的方法也会变得不那么方便。

如果你想以更安全的方式接触 Linux,可以试试 Valve Steam Deck(https://www.amazon.com/Valve-Steam-Deck-64-GB/dp/B0BFC555RF),它运行在 SteamOSArch Linux 的一个不可变的容器化版本)上。或者,也可以试试基于 Windows 系统、配备 AMD Ryzen Z1 Extreme 的华硕 ROG Ally(目前百思买售价 599.99 美元)。

Please share our article, every link counts!
> Notebookcheck中文版(NBC中国) > 新闻 > 新闻档案 > 新闻档案 2024 03 > KDE Plasma 主题安全噩梦:脚本功能可运行 root 命令,包括最糟糕的 Linux meme
Julian van der Merwe, 2024-03-26 (Update: 2024-03-26)