В представленном (http://www.opennet.me/opennews/art.shtml?num=41547) сегодня выпуске  KDE Plasma 5.2  
устранены (http://blog.martin-graesslin.com/blog/2015/01/why-screen-loc.../) две уязвимости в реализации системы блокирования экрана.

Первая уязвимость (CVE-2015-1307 (https://www.kde.org/info/security/advisory-20150122-1.txt)) затрагивает использованный в экране блокировки интерфейс на основе QtQuick и позволяет организовать отправку на удалённый сервер информации об учётной записи при подключении пользователем специально подготовленных файлов смены оформления экрана блокировки. В частности, злоумышленник может подготовить пакет Look and Feel, использующий возможности QtQuick для сбора данных о вводимых паролях и их отправки на внешний сервер по сети. Эксплуатация уязвимости затруднена из-за отсутствия механизма установки непроверенных пакетов оформления из интернета.

Вторая уязвимость  (CVE-2015-1308 (https://www.kde.org/info/security/advisory-20150122-2.txt)) проявляется не только в plasma-workspace, но и в kde-workspace, и позволяет перехватить пароли, используемые для разблокирования экрана. При активации блокировки экрана демон ksld осуществляет захват ввода с клавиатуры и мыши, блокируя доступ к такому вводу для других клиентов X11. Подобную блокировку можно обойти и X11-клиент может получить возможность доступа к вводимой во время блокировки экрана информации, т.е. любое приложение, имеющее доступ к X-серверу, в том числе запущенное от иного пользователя, может перехватить вводимые для разблокировки пароли.

URL: http://blog.martin-graesslin.com/blog/2015/01/why-screen-loc.../
Новость: http://www.opennet.me/opennews/art.shtml?num=41552

• В KDE устранены две уязвимости в системе блокировку экрана,Аноним, 00:04 , 28-Янв-15
• В KDE устранены две уязвимости в системе блокировку экрана,Константавр, 01:06 , 28-Янв-15
  • В KDE устранены две уязвимости в системе блокировку экрана,Аноним, 07:22 , 28-Янв-15
  • В KDE устранены две уязвимости в системе блокировку экрана,Аноним, 11:22 , 28-Янв-15
    • В KDE устранены две уязвимости в системе блокировку экрана,Константавр, 13:45 , 28-Янв-15
• В KDE устранены две уязвимости в системе блокировки экрана,Аноним, 11:21 , 28-Янв-15
  • В KDE устранены две уязвимости в системе блокировки экрана,Аноним, 12:50 , 28-Янв-15

>т.е. любое приложение, имеющее доступ к X-серверу, в том числе запущенное от иного пользователя, может перехватить вводимые для разблокировки пароли.

Вот я ждал, когда это появится? И ослу понятно, что скачивать темы для заставки и тем более плазмоиды - не безопасная штука, но кдешники очень расслабились.

> Вот я ждал, когда это появится? И ослу понятно, что скачивать темы

Теперь поколение вебдваноля же :). Те, кто ищет свой пароль в гугле для проверки того что никто такой больше не использует.

И ослу понятно, что скачивать исходники для линукса и тем более программы из интернета - не безопасная штука, но линуксоиды очень расслабились.

Да будет известно достопочтенному дону, что исходники мало кто читает. Понравилась заставка - хочу такую, всё. Пока заставки умели только менять последовательности картинок, это было не опасно (хотя кто их знает), но теперь, когда им доступно выполнение кода, это, извините, распиндяйство.

А код этих тысяч "мониторов производительности" кто-то читал? проверял? Вот реально, поднимите руки, кто устанавливал плазмоиды из интернета с помощью установщика в самой плазме и при этом читал код? Это же непочатый край для "ёлочкописателей"!

"отсутствия механизма установки непроверенных пакетов оформления из интернета. "
Когда пофиксят?

Когда магазин КДЕ запилят.