В KDE устранены две уязвимости в системе блокировки экрана

27.01.2015 22:41

В представленном сегодня выпуске KDE Plasma 5.2 устранены две уязвимости в реализации системы блокирования экрана.

Первая уязвимость (CVE-2015-1307) затрагивает использованный в экране блокировки интерфейс на основе QtQuick и позволяет организовать отправку на удалённый сервер информации об учётной записи при подключении пользователем специально подготовленных файлов смены оформления экрана блокировки. В частности, злоумышленник может подготовить пакет Look and Feel, использующий возможности QtQuick для сбора данных о вводимых паролях и их отправки на внешний сервер по сети. Эксплуатация уязвимости затруднена из-за отсутствия механизма установки непроверенных пакетов оформления из интернета.

Вторая уязвимость (CVE-2015-1308) проявляется не только в plasma-workspace, но и в kde-workspace, и позволяет перехватить пароли, используемые для разблокирования экрана. При активации блокировки экрана демон ksld осуществляет захват ввода с клавиатуры и мыши, блокируя доступ к такому вводу для других клиентов X11. Подобную блокировку можно обойти и X11-клиент может получить возможность доступа к вводимой во время блокировки экрана информации, т.е. любое приложение, имеющее доступ к X-серверу, в том числе запущенное от иного пользователя, может перехватить вводимые для разблокировки пароли.

исправить +9 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/41552-kde

Ключевые слова: kde, lock

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (7)

1.3, Аноним (-), 00:04, 28/01/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>т.е. любое приложение, имеющее доступ к X-серверу, в том числе запущенное от иного пользователя, может перехватить вводимые для разблокировки пароли.

1.13, Константавр (ok), 01:06, 28/01/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вот я ждал, когда это появится? И ослу понятно, что скачивать темы для заставки и тем более плазмоиды - не безопасная штука, но кдешники очень расслабились.

2.15, Аноним (-), 07:22, 28/01/2015 [^] [^^] [^^^] [ответить]	+1 +/–
> Вот я ждал, когда это появится? И ослу понятно, что скачивать темы Теперь поколение вебдваноля же :). Те, кто ищет свой пароль в гугле для проверки того что никто такой больше не использует.

2.21, Аноним (-), 11:22, 28/01/2015 [^] [^^] [^^^] [ответить]	+/–
И ослу понятно, что скачивать исходники для линукса и тем более программы из интернета - не безопасная штука, но линуксоиды очень расслабились.

3.23, Константавр (ok), 13:45, 28/01/2015 [^] [^^] [^^^] [ответить]	+/–
Да будет известно достопочтенному дону, что исходники мало кто читает. Понравилась заставка - хочу такую, всё. Пока заставки умели только менять последовательности картинок, это было не опасно (хотя кто их знает), но теперь, когда им доступно выполнение кода, это, извините, распиндяйство. А код этих тысяч "мониторов производительности" кто-то читал? проверял? Вот реально, поднимите руки, кто устанавливал плазмоиды из интернета с помощью установщика в самой плазме и при этом читал код? Это же непочатый край для "ёлочкописателей"!

1.20, Аноним (-), 11:21, 28/01/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
"отсутствия механизма установки непроверенных пакетов оформления из интернета. " Когда пофиксят?

2.22, Аноним (-), 12:50, 28/01/2015 [^] [^^] [^^^] [ответить]	+/–
Когда магазин КДЕ запилят.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: