The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В KDE устранены две уязвимости в системе блокировки экрана

27.01.2015 22:41

В представленном сегодня выпуске KDE Plasma 5.2 устранены две уязвимости в реализации системы блокирования экрана.

Первая уязвимость (CVE-2015-1307) затрагивает использованный в экране блокировки интерфейс на основе QtQuick и позволяет организовать отправку на удалённый сервер информации об учётной записи при подключении пользователем специально подготовленных файлов смены оформления экрана блокировки. В частности, злоумышленник может подготовить пакет Look and Feel, использующий возможности QtQuick для сбора данных о вводимых паролях и их отправки на внешний сервер по сети. Эксплуатация уязвимости затруднена из-за отсутствия механизма установки непроверенных пакетов оформления из интернета.

Вторая уязвимость (CVE-2015-1308) проявляется не только в plasma-workspace, но и в kde-workspace, и позволяет перехватить пароли, используемые для разблокирования экрана. При активации блокировки экрана демон ksld осуществляет захват ввода с клавиатуры и мыши, блокируя доступ к такому вводу для других клиентов X11. Подобную блокировку можно обойти и X11-клиент может получить возможность доступа к вводимой во время блокировки экрана информации, т.е. любое приложение, имеющее доступ к X-серверу, в том числе запущенное от иного пользователя, может перехватить вводимые для разблокировки пароли.

  1. Главная ссылка к новости (http://blog.martin-graesslin.c...)
  2. OpenNews: Google опубликовал XSecureLock, безопасный хранитель экрана для X11
  3. OpenNews: Уязвимость, позволяющая обойти блокировку хранителя экрана
  4. OpenNews: Уязвимость, позволяющая обойти парольную защиту хранителя экрана GNOME
  5. OpenNews: В Ubuntu выявлена уязвимость, позволяющая обойти блокирование экрана в Unity
  6. OpenNews: В Ubuntu 14.04 устранена уязвимость в GTK+, позволяющая обойти блокирование экрана
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/41552-kde
Ключевые слова: kde, lock
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (7) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Аноним (-), 00:04, 28/01/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >т.е. любое приложение, имеющее доступ к X-серверу, в том числе запущенное от иного пользователя, может перехватить вводимые для разблокировки пароли.
     
  • 1.13, Константавр (ok), 01:06, 28/01/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот я ждал, когда это появится? И ослу понятно, что скачивать темы для заставки и тем более плазмоиды - не безопасная штука, но кдешники очень расслабились.
     
     
  • 2.15, Аноним (-), 07:22, 28/01/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вот я ждал, когда это появится? И ослу понятно, что скачивать темы

    Теперь поколение вебдваноля же :). Те, кто ищет свой пароль в гугле для проверки того что никто такой больше не использует.

     
  • 2.21, Аноним (-), 11:22, 28/01/2015 [^] [^^] [^^^] [ответить]  
  • +/
    И ослу понятно, что скачивать исходники для линукса и тем более программы из интернета - не безопасная штука, но линуксоиды очень расслабились.
     
     
  • 3.23, Константавр (ok), 13:45, 28/01/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Да будет известно достопочтенному дону, что исходники мало кто читает. Понравилась заставка - хочу такую, всё. Пока заставки умели только менять последовательности картинок, это было не опасно (хотя кто их знает), но теперь, когда им доступно выполнение кода, это, извините, распиндяйство.

    А код этих тысяч "мониторов производительности" кто-то читал? проверял? Вот реально, поднимите руки, кто устанавливал плазмоиды из интернета с помощью установщика в самой плазме и при этом читал код? Это же непочатый край для "ёлочкописателей"!

     

  • 1.20, Аноним (-), 11:21, 28/01/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "отсутствия механизма установки непроверенных пакетов оформления из интернета. "
    Когда пофиксят?
     
     
  • 2.22, Аноним (-), 12:50, 28/01/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Когда магазин КДЕ запилят.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру