KDE: problema de seguridad (leve) con el bloqueo de pantalla

Martin Gräßlin ha descubierto, ¡y corregido!, dos problemas de seguridad leves relacionados con el bloqueo de pantalla y el uso de temas. Por una parte, cualquier aplicación que tenga acceso al servidor X podría espiar las claves de acceso de los usuarios, mientras que el otro problema permitiría crear un paquete para cambiar el aspecto de KDE (un tema de escritorio, por ejemplo) malicioso que envíe a su autor la clave de acceso del sistema donde ese paquete se instale.

Como paliativo de estos problemas, se recomienda

  • no permitir a clientes X11 de otras cuentas de usuario, ya sea en el sistema local o remoto, conectarse con el servidor X
  • En Preferencias del sistema → Pantalla y monitor → Bloqueador de pantalla → Tipo de bloqueador de pantalla elegir Salvapantallas en lugar de la opción por defecto (Bloqueador sencillo)
  • En general, desactivar completamente el bloqueo de pantalla evita el problema
  • Para evitar el problema de los temas maliciosamente modificados utilizar solo los temas por defecto

Para resolver el problema se debe o bien actualizar a Plasma 5.1.95 o bien aplicar los parches indicados en los correspondientes reportes de seguridad:

kde-workspace, plasma-workspace: X11 clients can eavesdrop input events while screen is locked

plasma-workspace: Network access from screen locker

Nada grave, pero mejor saberlo que ignorarlo 😉

Anuncios

A %d blogueros les gusta esto: