KDE recomienda extremar la precaución antes de instalar un Tema

Iniciado por AXCESS, Marzo 24, 2024, 02:09:11 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 24, 2024, 02:09:11 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El miércoles, el equipo de KDE advirtió a los usuarios de Linux que tuvieran "extrema precaución" al instalar temas globales, incluso desde la tienda oficial de KDE, porque estos temas ejecutan código arbitrario en los dispositivos para personalizar la apariencia del escritorio.

Actualmente, la Tienda KDE permite que cualquiera cargue nuevos temas y otros complementos o complementos sin realizar comprobaciones de comportamiento malicioso.

Sin embargo, como dijo KDE, actualmente carece de recursos para revisar el código utilizado por cada tema global enviado para su inclusión en su tienda oficial. Si los temas son defectuosos o maliciosos, esto puede tener consecuencias inesperadas.

"Los temas y widgets globales creados por desarrolladores externos para Plasma pueden ejecutar y ejecutarán código arbitrario. Le recomendamos que tenga extrema precaución al utilizar estos productos", advirtió KDE.

"Los temas globales no sólo cambian el aspecto de Plasma, sino también el comportamiento. Para ello ejecutan un código que puede ser defectuoso, como en el caso mencionado anteriormente. Lo mismo ocurre con los widgets y los plasmoides".

La ejecución de código es necesaria porque los temas globales están diseñados para cambiar todo en un escritorio Plasma, desde íconos hasta decoraciones de Windows, pantallas de bloqueo, pantallas de presentación, fondos de pantalla, combinaciones de colores, etc., utilizando scripts bash ejecutables.
El tema global borra los archivos del usuario usando 'rm -rf'

Según una publicación de Reddit citada por KDE, al menos a un usuario se le borraron los archivos después de instalar uno de esos temas globales de Plasma.

Después de su instalación, el tema eliminó todos los datos personales de las unidades montadas usando 'rm -rf', un comando UNIX muy peligroso que elimina de manera forzada y recursiva el contenido de un directorio (incluidos archivos y otras carpetas) sin ninguna advertencia ni solicitud de confirmación.

Cuando este comando se usa para eliminar archivos, se borran permanentemente y solo se pueden recuperar usando un software de recuperación de datos o restaurar desde copias de seguridad.

Si bien el tema global defectuoso ya se eliminó de la tienda de KDE, cualquier otro tema global disponible a través del repositorio oficial de complementos de KDE podría causar pérdida de datos si los desarrolladores no los han probado exhaustivamente antes de enviarlos.

"Ejecuta rm -rf en tu nombre [y] elimina todos los datos personales inmediatamente. Sin hacer preguntas", advirtió el usuario de KDE. "Cancelé esto cuando me pidió mi contraseña de root, pero ya era demasiado tarde para mis datos personales. Todas las unidades montadas bajo mi usuario desaparecieron, hasta 0 bytes. [Juegos, configuraciones, datos del navegador, [y] carpeta de inicio [han] desaparecido."

"Luego arrojó algún tipo de error, [y] mi plasma se atascó. [Entonces] cuando revisé y mis dos discos duros se borraron por completo, los juegos, las configuraciones, los datos personales, todo desapareció. Cualquier unidad montada con el usuario Los permisos también se eliminaron", añadió el usuario en una publicación separada de Reddit.

KDE promete comenzar a examinar el contenido de la tienda

A la luz de los riesgos que conlleva la instalación de complementos de Plasma no examinados, KDE pidió a la comunidad que informara sobre el software defectuoso que ya está disponible a través de la Tienda KDE.

El equipo también prometió seleccionar el contenido de la tienda y mejorar las advertencias que se muestran a los usuarios antes de instalar temas y complementos desarrollados por la comunidad en sus sistemas.

"Necesitamos comunicar claramente qué expectativas de seguridad deben tener los usuarios de Plasma para las extensiones que descargan en sus escritorios", dijo David Edmundson, ingeniero de software y líder de proyecto en KDE. "Luego, podemos considerar la posibilidad de proporcionar curación y auditoría como parte del proceso de la tienda en combinación con un soporte de sandbox que mejora lentamente".

"Si instalas contenido de la tienda, te recomendaría que lo revises localmente o busques reseñas de fuentes confiables".

"Sin embargo, esto llevará tiempo y recursos. Recomendamos a todos los usuarios que tengan cuidado al instalar y ejecutar software no proporcionado directamente por KDE o sus distribuciones", añadió el equipo de KDE.

Hasta entonces, los usuarios seguirán recibiendo advertencias al instalar temas globales desde la configuración del sistema KDE: "El contenido disponible aquí ha sido subido por usuarios como usted y su distribuidor no ha revisado su funcionalidad o estabilidad".

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario