KDE waarschuwt voor themes en widgets die bestanden gebruikers wissen
De makers van de KDE-desktopomgeving waarschuwen Linux-gebruikers voor themes en widgets die bestanden van gebruikers wissen. "Themes en widgets die door derden voor Plasma zijn ontwikkeld kunnen willekeurige code uitvoeren. Wees extreem voorzichtig bij het gebruik van deze producten. Een gebruiker heeft een nare ervaring gehad met het installeren van een theme en heeft persoonlijke data verloren", aldus KDE op X.
De gebruiker in kwestie liet op Reddit weten hoe hij na de installatie van een theme zijn data kwijtraakte. Het theme zou in naam van de gebruiker het commando 'rm -rf ' hebben uitgevoerd, waarmee al zijn persoonlijke bestanden werden gewist. Volgens KDE kunnen global themes niet alleen het uiterlijk van de Plasma-desktopomgeving veranderen, maar voeren ze om dit te doen code uit, en die code kan een bug bevatten. Dit geldt ook voor widgets.
KDE roept de community op om defecte software in de KDE Store te rapporteren en in quarantaine te plaatsen. Daarnaast waarschuwt KDE nu gebruikers voor elke download en gaat het uploads naar de KDE Store auditen en kijken hoe het dit beter kan weergeven. Dit zal echter tijd en middelen kosten, zo laat KDE in een blogposting weten. In de tussentijd worden gebruikers aangeraden voorzichtig te zijn met het installeren en draaien van software die niet direct door KDE of de gebruikte Linux-distributie is aangeboden.
Nu ben ik snel tevreden met het standaard donker thema, en gebruik ik geen enkele widget (al niet sinds de eerst widgets in Windows, die zijn zo nutteloos dat ze in de volgende versie waren weggehaald), dus voor mij is er geen probleem.
Maar dit doet KDE geen goed. Aan de andere kant zijn ze wel snel met het erkennen van het probleem en het snel mitigeren.
Nu nog een snelle oplossing, al verwacht ik dat die wat langer gaat duren.
Brodie Robertson had hier gisteren een video over op Youtube met wat meer detail over het probleem.
https://www.youtube.com/watch?v=2pQnfQDROes
In Windows zijn daarom signed installers en wordt er gewaarschuwd als je iets wilt uitvoeren dat je 'zomaar' hebt gedownload, maar ook daarmee kan het evengoed misgaan.
Hoewel het een fantastische flexibele desktopomgeving is gebruik ik toch liever GNOME en voor de terminalserveromgeving XFCE/
Dezelfde mentaliteit als bij het in elkaar trappen van iemand anders zandkasteeltje op het strand.
Het rotte is dat later deze mentaliteit niet meer verdwijnt, maar bij de meesten 'levenslang blijft hangen.
Ze deugen niet en blijven niet deugen.
Bij cybercrime zie je dezelfde patronen langskomen.
Van hetzelfde laken een pak dus.
Een "ettertje wordt, mits talent ervoor, later een "black hackertje".
De makke is dat ie deze ongein ook vaak nog onopgemerkt kan uitvoeren.
En soms ook nog zonder enkele consequentie voor zichzelf,
behalve dan voor degenen die hij benadeelt.
Daarom heeft de een een zwarte hoed en de ander een grijze of witte.
#laufer
Dezelfde mentaliteit als bij het in elkaar trappen van iemand anders zandkasteeltje op het strand.
Het rotte is dat later deze mentaliteit niet meer verdwijnt, maar bij de meesten 'levenslang blijft hangen.
Ze deugen niet en blijven niet deugen.
Bij cybercrime zie je dezelfde patronen langskomen.
Van hetzelfde laken een pak dus.
Een "ettertje wordt, mits talent ervoor, later een "black hackertje".
De makke is dat ie deze ongein ook vaak nog onopgemerkt kan uitvoeren.
En soms ook nog zonder enkele consequentie voor zichzelf,
behalve dan voor degenen die hij benadeelt.
Daarom heeft de een een zwarte hoed en de ander een grijze of witte.
#laufer
In dit geval was er echter geen sprake van opzet, maar "gewoon" een bug met wat grote gevolgen.
Dezelfde mentaliteit als bij het in elkaar trappen van iemand anders zandkasteeltje op het strand.
Het rotte is dat later deze mentaliteit niet meer verdwijnt, maar bij de meesten 'levenslang blijft hangen.
Ze deugen niet en blijven niet deugen.
Bij cybercrime zie je dezelfde patronen langskomen.
Van hetzelfde laken een pak dus.
Een "ettertje wordt, mits talent ervoor, later een "black hackertje".
De makke is dat ie deze ongein ook vaak nog onopgemerkt kan uitvoeren.
En soms ook nog zonder enkele consequentie voor zichzelf,
behalve dan voor degenen die hij benadeelt.
Daarom heeft de een een zwarte hoed en de ander een grijze of witte.
#laufer
In dit geval was er echter geen sprake van opzet, maar "gewoon" een bug met wat grote gevolgen.
Remove files, recursively and forced.
Dan heeft die code-schtijver zijn code slecht ge-debugged.
Dit geeft relatief weinig schade als de folder dicht bij de root van een volume begint.
Maar dat is hier blijkbaar niet overal het geval geweest.
Een map ergens diep(er) binnen de home directory aangezien er persoonlijke data verwijderd was?
Met grotere schade als gevolg.
Dezelfde mentaliteit als bij het in elkaar trappen van iemand anders zandkasteeltje op het strand.
Het rotte is dat later deze mentaliteit niet meer verdwijnt, maar bij de meesten 'levenslang blijft hangen.
Ze deugen niet en blijven niet deugen.
Bij cybercrime zie je dezelfde patronen langskomen.
Van hetzelfde laken een pak dus.
Een "ettertje wordt, mits talent ervoor, later een "black hackertje".
De makke is dat ie deze ongein ook vaak nog onopgemerkt kan uitvoeren.
En soms ook nog zonder enkele consequentie voor zichzelf,
behalve dan voor degenen die hij benadeelt.
Daarom heeft de een een zwarte hoed en de ander een grijze of witte.
#laufer
In dit geval was er echter geen sprake van opzet, maar "gewoon" een bug met wat grote gevolgen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
