image

KDE waarschuwt voor themes en widgets die bestanden gebruikers wissen

vrijdag 22 maart 2024, 08:52 door Redactie, 10 reacties
Laatst bijgewerkt: 22-03-2024, 10:25

De makers van de KDE-desktopomgeving waarschuwen Linux-gebruikers voor themes en widgets die bestanden van gebruikers wissen. "Themes en widgets die door derden voor Plasma zijn ontwikkeld kunnen willekeurige code uitvoeren. Wees extreem voorzichtig bij het gebruik van deze producten. Een gebruiker heeft een nare ervaring gehad met het installeren van een theme en heeft persoonlijke data verloren", aldus KDE op X.

De gebruiker in kwestie liet op Reddit weten hoe hij na de installatie van een theme zijn data kwijtraakte. Het theme zou in naam van de gebruiker het commando 'rm -rf ' hebben uitgevoerd, waarmee al zijn persoonlijke bestanden werden gewist. Volgens KDE kunnen global themes niet alleen het uiterlijk van de Plasma-desktopomgeving veranderen, maar voeren ze om dit te doen code uit, en die code kan een bug bevatten. Dit geldt ook voor widgets.

KDE roept de community op om defecte software in de KDE Store te rapporteren en in quarantaine te plaatsen. Daarnaast waarschuwt KDE nu gebruikers voor elke download en gaat het uploads naar de KDE Store auditen en kijken hoe het dit beter kan weergeven. Dit zal echter tijd en middelen kosten, zo laat KDE in een blogposting weten. In de tussentijd worden gebruikers aangeraden voorzichtig te zijn met het installeren en draaien van software die niet direct door KDE of de gebruikte Linux-distributie is aangeboden.

Reacties (10)
22-03-2024, 08:59 door Anoniem
Ik ben een gebruiker van KDE Plasma. En ik vind het heel suf te moeten lezen dat widgets niet in een container worden uitgevoerd, en dat het nodig is om voor kleurenthema's met icoontjes code uit te kunnen voeren.

Nu ben ik snel tevreden met het standaard donker thema, en gebruik ik geen enkele widget (al niet sinds de eerst widgets in Windows, die zijn zo nutteloos dat ze in de volgende versie waren weggehaald), dus voor mij is er geen probleem.

Maar dit doet KDE geen goed. Aan de andere kant zijn ze wel snel met het erkennen van het probleem en het snel mitigeren.
Nu nog een snelle oplossing, al verwacht ik dat die wat langer gaat duren.
22-03-2024, 09:00 door Anoniem
Het gaat hier om de Global Themes, niet de om de plasma themes.
Brodie Robertson had hier gisteren een video over op Youtube met wat meer detail over het probleem.
https://www.youtube.com/watch?v=2pQnfQDROes
22-03-2024, 09:02 door Anoniem
Dit geldt voor alles wat je op Linux doet, van Widgets tot en met code snippets die je zelf moet uitvoeren. Je moet altijd zelf blijven nadenken wat je doet op je systeem.
In Windows zijn daarom signed installers en wordt er gewaarschuwd als je iets wilt uitvoeren dat je 'zomaar' hebt gedownload, maar ook daarmee kan het evengoed misgaan.
22-03-2024, 09:39 door Anoniem
'rm -rf' is geen bug maar pure sabotage. Daarom oppassen met software van derden.
Hoewel het een fantastische flexibele desktopomgeving is gebruik ik toch liever GNOME en voor de terminalserveromgeving XFCE/
22-03-2024, 10:28 door Anoniem
Zijn de KDE settings voor een enterprise makkelijk te locken ?
22-03-2024, 12:29 door Anoniem
Er bestaan gewoon "vervelende" mensen op aard en dat is het euvel.

Dezelfde mentaliteit als bij het in elkaar trappen van iemand anders zandkasteeltje op het strand.
Het rotte is dat later deze mentaliteit niet meer verdwijnt, maar bij de meesten 'levenslang blijft hangen.
Ze deugen niet en blijven niet deugen.

Bij cybercrime zie je dezelfde patronen langskomen.
Van hetzelfde laken een pak dus.
Een "ettertje wordt, mits talent ervoor, later een "black hackertje".

De makke is dat ie deze ongein ook vaak nog onopgemerkt kan uitvoeren.
En soms ook nog zonder enkele consequentie voor zichzelf,
behalve dan voor degenen die hij benadeelt.

Daarom heeft de een een zwarte hoed en de ander een grijze of witte.

#laufer
22-03-2024, 15:41 door Anoniem
Door Anoniem: Er bestaan gewoon "vervelende" mensen op aard en dat is het euvel.

Dezelfde mentaliteit als bij het in elkaar trappen van iemand anders zandkasteeltje op het strand.
Het rotte is dat later deze mentaliteit niet meer verdwijnt, maar bij de meesten 'levenslang blijft hangen.
Ze deugen niet en blijven niet deugen.

Bij cybercrime zie je dezelfde patronen langskomen.
Van hetzelfde laken een pak dus.
Een "ettertje wordt, mits talent ervoor, later een "black hackertje".

De makke is dat ie deze ongein ook vaak nog onopgemerkt kan uitvoeren.
En soms ook nog zonder enkele consequentie voor zichzelf,
behalve dan voor degenen die hij benadeelt.

Daarom heeft de een een zwarte hoed en de ander een grijze of witte.

#laufer

In dit geval was er echter geen sprake van opzet, maar "gewoon" een bug met wat grote gevolgen.
22-03-2024, 20:07 door Anoniem
Door Anoniem:
Door Anoniem: Er bestaan gewoon "vervelende" mensen op aard en dat is het euvel.

Dezelfde mentaliteit als bij het in elkaar trappen van iemand anders zandkasteeltje op het strand.
Het rotte is dat later deze mentaliteit niet meer verdwijnt, maar bij de meesten 'levenslang blijft hangen.
Ze deugen niet en blijven niet deugen.

Bij cybercrime zie je dezelfde patronen langskomen.
Van hetzelfde laken een pak dus.
Een "ettertje wordt, mits talent ervoor, later een "black hackertje".

De makke is dat ie deze ongein ook vaak nog onopgemerkt kan uitvoeren.
En soms ook nog zonder enkele consequentie voor zichzelf,
behalve dan voor degenen die hij benadeelt.

Daarom heeft de een een zwarte hoed en de ander een grijze of witte.

#laufer

In dit geval was er echter geen sprake van opzet, maar "gewoon" een bug met wat grote gevolgen.

Remove files, recursively and forced.

Dan heeft die code-schtijver zijn code slecht ge-debugged.
Dit geeft relatief weinig schade als de folder dicht bij de root van een volume begint.
Maar dat is hier blijkbaar niet overal het geval geweest.
Een map ergens diep(er) binnen de home directory aangezien er persoonlijke data verwijderd was?
Met grotere schade als gevolg.
23-03-2024, 12:51 door Anoniem
Door Anoniem:
Door Anoniem: Er bestaan gewoon "vervelende" mensen op aard en dat is het euvel.

Dezelfde mentaliteit als bij het in elkaar trappen van iemand anders zandkasteeltje op het strand.
Het rotte is dat later deze mentaliteit niet meer verdwijnt, maar bij de meesten 'levenslang blijft hangen.
Ze deugen niet en blijven niet deugen.

Bij cybercrime zie je dezelfde patronen langskomen.
Van hetzelfde laken een pak dus.
Een "ettertje wordt, mits talent ervoor, later een "black hackertje".

De makke is dat ie deze ongein ook vaak nog onopgemerkt kan uitvoeren.
En soms ook nog zonder enkele consequentie voor zichzelf,
behalve dan voor degenen die hij benadeelt.

Daarom heeft de een een zwarte hoed en de ander een grijze of witte.

#laufer

In dit geval was er echter geen sprake van opzet, maar "gewoon" een bug met wat grote gevolgen.
Nee is geen bug maar een design issue. Vertrouw je code van derde? Zo niet dan moet je maatregelen nemen via bv selinux, AppArmor etc. Een thema mag natuurlijk alleen maar iets met themas doen en niet aan andere bestanden zitten of iets via netwerk doen etc.
25-03-2024, 21:28 door PJW9779
Het commando 'rm -rf ' uitvoeren zónder sudo, en bovendien zónder password?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.