В представленном (http://www.opennet.me/opennews/art.shtml?num=41547) сегодня выпуске KDE Plasma 5.2
устранены (http://blog.martin-graesslin.com/blog/2015/01/why-screen-loc.../) две уязвимости в реализации системы блокирования экрана.
Первая уязвимость (CVE-2015-1307 (https://www.kde.org/info/security/advisory-20150122-1.txt)) затрагивает использованный в экране блокировки интерфейс на основе QtQuick и позволяет организовать отправку на удалённый сервер информации об учётной записи при подключении пользователем специально подготовленных файлов смены оформления экрана блокировки. В частности, злоумышленник может подготовить пакет Look and Feel, использующий возможности QtQuick для сбора данных о вводимых паролях и их отправки на внешний сервер по сети. Эксплуатация уязвимости затруднена из-за отсутствия механизма установки непроверенных пакетов оформления из интернета.
Вторая уязвимость (CVE-2015-1308 (https://www.kde.org/info/security/advisory-20150122-2.txt)) проявляется не только в plasma-workspace, но и в kde-workspace, и позволяет перехватить пароли, используемые для разблокирования экрана. При активации блокировки экрана демон ksld осуществляет захват ввода с клавиатуры и мыши, блокируя доступ к такому вводу для других клиентов X11. Подобную блокировку можно обойти и X11-клиент может получить возможность доступа к вводимой во время блокировки экрана информации, т.е. любое приложение, имеющее доступ к X-серверу, в том числе запущенное от иного пользователя, может перехватить вводимые для разблокировки пароли.
URL: http://blog.martin-graesslin.com/blog/2015/01/why-screen-loc.../
Новость: http://www.opennet.me/opennews/art.shtml?num=41552