Çarşamba günü KDE ekibi, Linux kullanıcılarını, küresel temaları resmi KDE Mağazasından bile yüklerken “son derece dikkatli” olmaları konusunda uyardı; çünkü bu temalar, masaüstünün görünümünü özelleştirmek için cihazlarda rastgele kod çalıştırıyor.
KDE Mağazası şu anda herkesin herhangi bir kötü amaçlı davranış kontrolü olmaksızın yeni temalar ve diğer çeşitli eklentileri veya eklentileri yüklemesine izin veriyor.
Ancak KDE'nin söylediği gibi, şu anda resmi mağazasına dahil edilmek üzere gönderilen her global temanın kullandığı kodu inceleyecek kaynaklara sahip değil. Temaların hatalı veya kötü amaçlı olması beklenmedik sonuçlara yol açabilir.
KDE, “Plasma için 3. taraf geliştiriciler tarafından oluşturulan küresel temalar ve widget'lar isteğe bağlı kod çalıştırabilir ve çalıştıracaktır. Bu ürünleri kullanırken son derece dikkatli olmanız önerilir,” diye uyardı KDE.
“Global temalar Plasma'nın yalnızca görünümünü değil davranışını da değiştiriyor. Bunu yapmak için kod çalıştırıyorlar ve bu kod, yukarıda bahsettiğimiz durumda olduğu gibi hatalı olabilir. Aynı şey widget'lar ve plazmoidler için de geçerli.”
Kod yürütme gereklidir çünkü küresel temalar, yürütülebilir bash komut dosyalarını kullanarak simgelerden pencere dekorasyonlarına, kilit ekranlarına, açılış ekranlarına, duvar kağıtlarına, renk şemalarına vb. kadar bir Plazma masaüstündeki her şeyi değiştirmek için tasarlanmıştır.
Global tema 'rm -rf' kullanarak kullanıcının dosyalarını siler
KDE tarafından aktarılan bir Reddit gönderisine göre, en az bir kullanıcının böyle bir küresel Plazma temasını yükledikten sonra dosyaları silindi.
Tema, yüklendikten sonra, bir dizinin içeriğini (dosyalar ve diğer klasörler dahil) herhangi bir uyarı vermeden ve onay istemeden zorla ve yinelemeli olarak silen çok tehlikeli bir UNIX komutu olan 'rm -rf'yi kullanarak takılı sürücülerdeki tüm kişisel verileri sildi.
Dosyaları silmek için bu komut kullanıldığında, dosyalar kalıcı olarak silinir ve yalnızca veri kurtarma yazılımı kullanılarak kurtarılabilir veya yedeklerden geri yüklenebilir.
Arızalı global tema o zamandan beri KDE mağazasından kaldırılmış olsa da, KDE'nin resmi eklenti deposunda bulunan diğer global temalar, geliştiricilerin bunları göndermeden önce kapsamlı bir şekilde test etmemesi durumunda veri kaybına neden olabilir.
“Sizin adınıza rm -rf komutunu çalıştırır [and] tüm kişisel verileri anında siler. Hiçbir soru sorulmadı” diye uyardı KDE kullanıcısı. “Root şifremi istediğinde bunu iptal ettim ama kişisel verilerim için artık çok geçti. Kullanıcımın altına monte edilen tüm sürücüler 0 bayta kadar gitti. [G]ames, yapılandırmalar, tarayıcı verileri, [and the] ana klasör [are] hepsi gitti.”
“Sonra bir tür hata verdi, [and] plazmam bir şekilde sıkıştı. [T]Kontrol ettiğimde iki sabit diskimin tamamen silindiğini, oyunların, konfigürasyonların, kişisel verilerin tamamen silindiğini gördüm. Kullanıcı izinleriyle monte edilen tüm sürücüler de silindi.” diye ekledi kullanıcı ayrı bir Reddit gönderisinde.
KDE, mağaza içeriğini incelemeye başlama sözü veriyor
İncelenmemiş Plazma eklentilerinin kurulumunun ardındaki riskler ışığında KDE, topluluktan KDE Mağazası'nda halihazırda mevcut olan hatalı yazılımları bildirmelerini istedi.
Ekip ayrıca, topluluk tarafından geliştirilen temaları ve eklentileri sistemlerine yüklemeden önce mağaza içeriğini düzenleme ve kullanıcılara gösterilen uyarıları iyileştirme sözü verdi.
“[W]KDE'de Yazılım Mühendisi ve Proje Lideri olan David Edmundson şöyle konuştu: “Plazma kullanıcılarının masaüstü bilgisayarlarına indirdikleri uzantılar için hangi güvenlik beklentilerini karşılaması gerektiğini açıkça belirtmemiz gerekiyor.” Yavaş yavaş gelişen sanal alan desteğiyle birlikte süreç.”
“Mağazadan içerik yüklerseniz yerel olarak kontrol etmenizi veya güvenilir kaynaklardan gelen incelemelere bakmanızı öneririm.”
KDE ekibi şunu ekledi: “Yine de bu, zaman ve kaynak gerektirecektir. Doğrudan KDE veya dağıtımlarınız tarafından sağlanmayan yazılımları yüklerken ve çalıştırırken tüm kullanıcılara dikkatli olmalarını öneriyoruz.”
O zamana kadar, kullanıcılar genel temaları KDE sistem ayarlarından yüklerken yine de uyarılacaklardır: “Burada mevcut olan içerik sizin gibi kullanıcılar tarafından yüklenmiştir ve dağıtıcınız tarafından işlevsellik veya kararlılık açısından incelenmemiştir.”
