LINUX.ORG.RU
ФорумTalks

Установка темы KDE привела к удалению всех пользовательских файлов

 , , патч бармина


0

0

Источник: https://www.reddit.com/r/openSUSE/comments/1biunsl/hacked_installed_a_global_theme_it_erased_all_my/

Пользователь KDE установил тему с помощью входящего в стандартную поставку KDE браузера и установщика тем (доступного по нажатию кнопки «Get New Global Themes…» в соотв. настройках) — и получил удаление всех файлов, к которым у него был доступ.

Похоже, что такое поведение было скорее результатом ошибки автора темы при составлении команды, нежели злым умыслом, но сама возможность выполнения произвольного кода при установке тем оформления вызывает вопросы.

Пользователям KDE рекомендуется тщательно проверять файлы тем перед попыткой их установки.

★★★★★

Самые нескучные обои ever.

thesis ★★★★★
()

Только имбецил будет использовать не-CSS синтаксис для создания тем оформления.

Впрочем это ж кедерасты...

windows10 ★★★★★
()
Ответ на: комментарий от windows10

Впрочем это ж кедерасты…

И причём здесь синтаксис. Любой синтаксис должен быть доставлен в виде фаилов, значит у установщика есть доступ к хомяку.

her_s_gory
()
Ответ на: комментарий от her_s_gory

И причём здесь синтаксис. Любой синтаксис должен быть доставлен в виде фаилов, значит у установщика есть доступ к хомяку.

И при том, что тема с нормальным синтаксисом может быть просто скопирована в папку ~.local/themes без каких-то установщиков, запускающих удаленные кастомные команды.

windows10 ★★★★★
()
Ответ на: комментарий от windows10

И при том, что тема с нормальным синтаксисом может быть просто скопирована в папку ~.local/themes

Если можно cp, значит можно и rm и даже без всяких кастомных команд. Как CSS от этого защищает?

her_s_gory
()
Ответ на: комментарий от her_s_gory

Если можно cp, значит можно и rm и даже без всяких кастомных команд. Как CSS от этого защищает?

Можно даже format c:/

Ты новость вообще перечитал?

Что тебе неясно с словосочетания "выполнения произвольного кода" ?

Выполнение произвольного кода - это значит что тебе его подсунул Васян в том что называется «темой», а ты одним кликом это выполнил. И выполнил не команды установщика тем в пространстве установщика тем, а системные. Это вообще один большой лол.

windows10 ★★★★★
()

OpenSuse

Язабан! Желтушный заголовок. Нет названия проблемного дистряба. Фанатики будут обобщать опять всё с KDE...😒

xwicked ★★☆
()
Ответ на: комментарий от windows10

Ты новость вообще перечитал?

Ты по ссылке вообще ходил? Там: rm -Rf "$configFolder" - это не какой-то произвольный код, а самая обычная команда оболочки.

her_s_gory
()
Ответ на: комментарий от her_s_gory

Ты по ссылке вообще ходил? Там: rm -Rf «$configFolder» - это не какой-то произвольный код, а самая обычная команда оболочки.

Сегодня только среда, разупорись)

Кстати, а echo "test... test... test..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see' - это произвольный код, или самые обычные команды оболочки ?)

windows10 ★★★★★
()
Последнее исправление: windows10 (всего исправлений: 1)
Ответ на: комментарий от windows10

Кстати, а <skip…>

Разве департамент по поведению в сети интернет не запретил постить такой код?

И, кстати, perl - это вызов бинарного файла - произвольный код. А rm - это обычно встроенная в оболочку команда. Так что я заупорюсь обратно несмотря на среду.

her_s_gory
()
Последнее исправление: her_s_gory (всего исправлений: 1)
Ответ на: комментарий от her_s_gory

Разве департамент по поведению в сети интернет не запретил постить такой код?

Нет. Любой Васян может написать «тему как в MacOS для KDE», выложить ее в общий доступ, и rm -rf / это самое безобидное что он сможет замутить для домохозяек и не только.

Я честно говоря не ожидал что второе именитое DE на планете может страдать настолько детскими приколами.

windows10 ★★★★★
()
Ответ на: комментарий от her_s_gory

И, кстати, perl - это вызов бинарного файла - произвольный код. А rm - это обычно встроенная в оболочку команда. Так что я заупорюсь обратно несмотря на среду.

[root@ntfs-a320mh ssd]# mv /bin/rm /bin/aaa;rm -rf /
bash: rm: command not found
[root@ntfs-a320mh ssd]# 
windows10 ★★★★★
()

Если темы содержат скрипты js, то удивляться нечему.

dmitry237 ★★★★
()

От них когда-то разработчик квина ушёл из-за несогласия с ТАКИМИ дырами безопасности.

R_He_Po6oT ★★★★★
()
Ответ на: комментарий от hateyoufeel

Там иногда даже пакеты доустанавливать пытаются в установочных скриптах. Со стороны того кто этим пользуется, вроде, хорошо, а с другой стороны - ну кошмар же.

R_He_Po6oT ★★★★★
()
Ответ на: комментарий от R_He_Po6oT

Там иногда даже пакеты доустанавливать пытаются в установочных скриптах. Со стороны того кто этим пользуется, вроде, хорошо, а с другой стороны - ну кошмар же.

Я такого не встречал, но это в любом случае рак.

hateyoufeel ★★★★★
()
Ответ на: комментарий от grem

Слоган, вызывающий доверие
Помню смутно какую-то историю наподобие, из жаберной конфы, когда какому-то мусульманину подсунули пакет со «свиной» темой. Обои, звуки там соответствующие... Он спрашивал как вычистить. Или скрипт ему подсунули, установщик...

imul ★★★★★
()
Последнее исправление: imul (всего исправлений: 2)
Ответ на: комментарий от windows10

Помню, лет 14 назад, когда я установил дебиан и пошёл на какой-то гномий сайт с темами, там была какая-то хрень на сайте, которая удалённо меняла мне настройки в гноме. Нажал на кнопку – гном поменялся. Жесть жестяная. Для меня это был шок.

rechnick ★★★
()

Чего переживаете, написано же - для шестой плазмы. В бубунту раньше 24.10 не завезут, тоесть ТЫ с этим познакомишься только в 26 году

DumLemming ★★★
()
Ответ на: комментарий от rechnick

В бубунте это не работает, бубунтята плачут и всякие демоны ставят чтобы работало

DumLemming ★★★
()

Нет, чтобы сидеть с монотонным фоном, им нужны говнокартинки.

seiken ★★★★★
()
Ответ на: комментарий от grem

“created by users like you”

И в случае с баш-скриптами это игра в русскую рулетку. Перед всякими rm -R "$VAR" не сделаешь пару проверок и не убедишься, что они точно работают - в один момент получишь веселый результат.

Делал себе утилиту для установки модов и даже для личного использования пришел к выводу, что надо использовать декларативный подход и свести к минимуму вызов подобных операций в коде. А для магазина с публичными модификациями запускать баш скрипты - просто недопустимо.

altwazar ★★★★
()

Надо было ставить сертифицированный Fly DE, а не вот это фсё.

sanyo1234
()
Ответ на: комментарий от altwazar

Перед всякими rm -R «$VAR» не сделаешь пару проверок и не убедишься, что они точно работают - в один момент получишь веселый результат.

Главное внимательно читать блог обнов к Арчику перед ежедневной обновой. А то если не прочитаешь, то вредоносный нечаянно написанный без злого умысла скрипт обязательно запустится.

sanyo1234
()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)