Çarşamba günü, KDE ekibi Linux kullanıcılarını resmi KDE mağazasından bile küresel temalar yüklerken "aşırı dikkat" kullanma konusunda uyardı, çünkü bu temalar masaüstünün görünümünü özelleştirmek için cihazlarda keyfi kod çalıştırıyor.
KDE Store şu anda herkesin kötü niyetli davranışlar için herhangi bir kontrol olmadan yeni temalar ve diğer çeşitli eklentiler veya eklentiler yüklemesine izin veriyor.
Bununla birlikte, KDE'nin dediği gibi, şu anda resmi mağazasına dahil edilmek üzere gönderilen her küresel temanın kullandığı kodu gözden geçirmek için kaynaklardan yoksundur. Temalar hatalı veya kötü niyetli ise, bu beklenmedik sonuçlara neden olabilir.
KDE, "Plazma için 3. taraf geliştiriciler tarafından oluşturulan küresel temalar ve widget'lar keyfi kod yapabilir ve çalıştırır. Bu ürünleri kullanırken çok dikkatli olmanız teşvik edilir."
"Global temalar sadece plazmanın görünümünü değil, aynı zamanda davranışları da değiştirir. Bunu yapmak için kod çalıştırırlar ve bu kod yukarıda belirtilen durumda olduğu gibi arızalı olabilir. Aynı şey widget'lar ve plazmoidler için de geçerlidir."
Kod yürütme gereklidir, çünkü küresel temalar, simgelerden pencere süslemelerine, kilit ekranlarına, sıçrama ekranlarına, duvar kağıtlarına, renk şemalarına vb.
KDE tarafından alıntılanan bir Reddit Post'a göre, en az bir kullanıcı böyle bir küresel plazma temasını yükledikten sonra dosyalarını sildi.
Kurulduktan sonra, tema, bir dizinin içeriğini (dosyalar ve diğer klasörler dahil) herhangi bir uyarı olmadan ve onaylama isteyen çok tehlikeli bir UNIX komutu olan 'RM -rf' kullanılarak monte edilmiş sürücülerden gelen tüm kişisel verileri sildi.
Bu komut dosyaları silmek için kullanıldığında, kalıcı olarak silinir ve yalnızca veri kurtarma yazılımı kullanılarak kurtarılabilir veya yedeklemelerden geri yüklenebilir.
O zamandan beri hatalı küresel tema KDE'nin mağazasından kaldırılmış olsa da, geliştiriciler gönderilmeden önce bunları iyice test etmediyse KDE'nin resmi eklenti deposu aracılığıyla sunulan diğer küresel temalar veri kaybına neden olabilir.
KDE kullanıcısı, "Sizin adınıza RM -RF yürütüyor [ve] tüm kişisel verileri hemen siler. Soru sorulmadı," diye uyardı KDE kullanıcısı. "Kök şifremi istediğinde bunu iptal ettim, ancak kişisel verilerim için çok geç kaldı. Kullanıcımın altına monte edilen tüm sürücüler 0 bayta düştü. [G] Ames, konfigürasyonlar, tarayıcı verileri [ve] Ana klasör [hepsi] gitti. "
"Sonra bir çeşit hata attı, [ve] plazma türüm sıkıştı. [T] kontrol ettim ve iki sert sürücülerim tamamen silindi, oyunlar, konfigürasyonlar, kişisel veriler, hepsi gitti. Kullanıcı ile monte edilmiş herhangi bir sürücü İzinler de sildi, "kullanıcı ayrı bir Reddit postasına ekledi.
Sessiz plazma eklentileri kurmanın arkasındaki riskler ışığında KDE, topluluktan KDE mağazası aracılığıyla halihazırda mevcut olan hatalı yazılımı bildirmesini istedi.
Ekip ayrıca, topluluk tarafından geliştirilen temaları ve eklentileri sistemlerinde yüklemeden önce mağaza içeriğini iyileştirmeye ve kullanıcılara gösterilen uyarıları iyileştirmeye söz verdi.
KDE'de yazılım mühendisi ve proje lideri David Edmundson, "[Plazma kullanıcılarının masaüstlerine indirdikleri uzantılar için sahip olması gereken güvenlik beklentilerini net bir şekilde iletmesi gerekiyor," dedi. "Ardından, mağaza sürecinin bir parçası olarak iyileştirme ve denetim sağlamaya, yavaş yavaş iyileştirme sanal alan desteğiyle birlikte bakabiliriz."
"Mağazadan içerik yüklerseniz, yerel olarak kontrol etmenizi veya güvenilir kaynaklardan incelemeler aramayı tavsiye ederim."
KDE ekibi, "Bununla birlikte, bu zaman ve kaynak alacaktır. Doğrudan KDE veya dağıtımlarınız tarafından sağlanmayan yazılımı yükleyip çalıştırırken tüm kullanıcıların dikkatli olmalarını öneriyoruz."
O zamana kadar, kullanıcılar KDE Sistem ayarlarından küresel temalar yüklerken hala uyarılacaklar: "Burada bulunan içerik sizin gibi kullanıcılar tarafından yüklendi ve işlevsellik veya stabilite için distribütörünüz tarafından incelenmedi."
Windows 11, Tesla ve Ubuntu Linux Pwn2own Vancouver'da hacklendi
FTC, dolandırıcıların çalışanlarını para çalmak için taklit ettikleri konusunda uyarıyor
Mıknatıs Goblin Hacker'ları, özel Linux kötü amaçlı yazılımları bırakmak için 1 günlük kusurlar kullanır
CISA, fabrika sıfırladıktan sonra bile hacklenen Ivanti VPN ağ geçitlerini kullanmaya karşı uyarıyor
Stealthy GtpDoor Linux kötü amaçlı yazılım hedefleri mobil operatör ağları
Kaynak: Bleeping Computer