The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В KDE устранены две уязвимости в системе блокировку экрана"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В KDE устранены две уязвимости в системе блокировку экрана"  +/
Сообщение от opennews (??) on 27-Янв-15, 23:37 
В представленном (http://www.opennet.ru/opennews/art.shtml?num=41547) сегодня выпуске  KDE Plasma 5.2  
устранены (http://blog.martin-graesslin.com/blog/2015/01/why-screen-loc.../) две уязвимости в реализации системы блокирования экрана.


Первая уязвимость (CVE-2015-1307 (https://www.kde.org/info/security/advisory-20150122-1.txt)) затрагивает использованный в экране блокировки интерфейс на основе QtQuick и позволяет организовать отправку на удалённый сервер информации об учётной записи при подключении пользователем специально подготовленных файлов смены оформления экрана блокировки. В частности, злоумышленник может подготовить пакет Look and Feel, использующий возможности QtQuick для сбора данных о вводимых паролях и их отправки на внешний сервер по сети. Эксплуатация уязвимости затруднена из-за отсутствия механизма установки непроверенных пакетов оформления из интернета.


Вторая уязвимость  (CVE-2015-1308 (https://www.kde.org/info/security/advisory-20150122-2.txt)) проявляется не только в plasma-workspace, но и в kde-workspace, и позволяет перехватить пароли, используемые для разблокирования экрана. При активации блокировки экрана демон ksld осуществляет захват ввода с клавиатуры и мыши, блокируя доступ к такому вводу для других клиентов X11. Подобную блокировку можно обойти и X11-клиент может получить возможность доступа к вводимой во время блокировки экрана информации, т.е. любое приложение, имеющее доступ к X-серверу, в том числе запущенное от иного пользователя, может перехватить вводимые для разблокировки пароли.


URL: http://blog.martin-graesslin.com/blog/2015/01/why-screen-loc.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=41552

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


3. "В KDE устранены две уязвимости в системе блокировку экрана"  +/
Сообщение от Аноним (??) on 28-Янв-15, 00:04 
>т.е. любое приложение, имеющее доступ к X-серверу, в том числе запущенное от иного пользователя, может перехватить вводимые для разблокировки пароли.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "В KDE устранены две уязвимости в системе блокировку экрана"  +/
Сообщение от Константавр (ok) on 28-Янв-15, 01:06 
Вот я ждал, когда это появится? И ослу понятно, что скачивать темы для заставки и тем более плазмоиды - не безопасная штука, но кдешники очень расслабились.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В KDE устранены две уязвимости в системе блокировку экрана"  +1 +/
Сообщение от Аноним (??) on 28-Янв-15, 07:22 
> Вот я ждал, когда это появится? И ослу понятно, что скачивать темы

Теперь поколение вебдваноля же :). Те, кто ищет свой пароль в гугле для проверки того что никто такой больше не использует.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

21. "В KDE устранены две уязвимости в системе блокировку экрана"  +/
Сообщение от Аноним (??) on 28-Янв-15, 11:22 
И ослу понятно, что скачивать исходники для линукса и тем более программы из интернета - не безопасная штука, но линуксоиды очень расслабились.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

23. "В KDE устранены две уязвимости в системе блокировку экрана"  +/
Сообщение от Константавр (ok) on 28-Янв-15, 13:45 
Да будет известно достопочтенному дону, что исходники мало кто читает. Понравилась заставка - хочу такую, всё. Пока заставки умели только менять последовательности картинок, это было не опасно (хотя кто их знает), но теперь, когда им доступно выполнение кода, это, извините, распиндяйство.

А код этих тысяч "мониторов производительности" кто-то читал? проверял? Вот реально, поднимите руки, кто устанавливал плазмоиды из интернета с помощью установщика в самой плазме и при этом читал код? Это же непочатый край для "ёлочкописателей"!

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

20. "В KDE устранены две уязвимости в системе блокировки экрана"  +/
Сообщение от Аноним (??) on 28-Янв-15, 11:21 
"отсутствия механизма установки непроверенных пакетов оформления из интернета. "
Когда пофиксят?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "В KDE устранены две уязвимости в системе блокировки экрана"  +/
Сообщение от Аноним (??) on 28-Янв-15, 12:50 
Когда магазин КДЕ запилят.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру