https://www.opennet.ru/openforum/vsluhforumID3/101335.html В представленном (http://www.opennet.ru/opennews/art.shtml?num=41547) сегодня выпуске KDE Plasma 5.2 <br>устранены (http://blog.martin-graesslin.com/blog/2015/01/why-screen-lockers-on-x11-cannot-be-secure/) две уязвимости в реализации системы блокирования экрана. <br><br><br>Первая уязвимость (CVE-2015-1307 (https://www.kde.org/info/security/advisory-20150122-1.txt)) затрагивает использованный в экране блокировки интерфейс на основе QtQuick и позволяет организовать отправку на удалённый сервер информации об учётной записи при подключении пользователем специально подготовленных файлов смены оформления экрана блокировки. В частности, злоумышленник может подготовить пакет Look and Feel, использующий возможности QtQuick для сбора данных о вводимых паролях и их отправки на внешний сервер по сети. Эксплуатация уязвимости затруднена из-за отсутствия механизма установки непроверенных пакетов оформления из интернета. <br><br><br>Вторая уязвимость (CVE-2015-1308 (https://www.kde.org/info/security/advisory-20150122-2.txt)) проявляет https://www.opennet.ru/openforum/vsluhforumID3/101335.html#23 Wed, 28 Jan 2015 10:45:18 GMT Да будет известно достопочтенному дону, что исходники мало кто читает. Понравилась заставка - хочу такую, всё. Пока заставки умели только менять последовательности картинок, это было не опасно (хотя кто их знает), но теперь, когда им доступно выполнение кода, это, извините, распиндяйство.<br><br>А код этих тысяч "мониторов производительности" кто-то читал? проверял? Вот реально, поднимите руки, кто устанавливал плазмоиды из интернета с помощью установщика в самой плазме и при этом читал код? Это же непочатый край для "ёлочкописателей"!<br> https://www.opennet.ru/openforum/vsluhforumID3/101335.html#22 Wed, 28 Jan 2015 09:50:10 GMT Когда магазин КДЕ запилят.<br> https://www.opennet.ru/openforum/vsluhforumID3/101335.html#21 Wed, 28 Jan 2015 08:22:54 GMT И ослу понятно, что скачивать исходники для линукса и тем более программы из интернета - не безопасная штука, но линуксоиды очень расслабились.<br> https://www.opennet.ru/openforum/vsluhforumID3/101335.html#20 Wed, 28 Jan 2015 08:21:02 GMT "отсутствия механизма установки непроверенных пакетов оформления из интернета. "<br>Когда пофиксят?<br> https://www.opennet.ru/openforum/vsluhforumID3/101335.html#15 Wed, 28 Jan 2015 04:22:21 GMT &gt; Вот я ждал, когда это появится? И ослу понятно, что скачивать темы <br><br>Теперь поколение вебдваноля же :). Те, кто ищет свой пароль в гугле для проверки того что никто такой больше не использует.<br> https://www.opennet.ru/openforum/vsluhforumID3/101335.html#13 Tue, 27 Jan 2015 22:06:34 GMT Вот я ждал, когда это появится? И ослу понятно, что скачивать темы для заставки и тем более плазмоиды - не безопасная штука, но кдешники очень расслабились.<br> https://www.opennet.ru/openforum/vsluhforumID3/101335.html#3 Tue, 27 Jan 2015 21:04:03 GMT &gt;т.е. любое приложение, имеющее доступ к X-серверу, в том числе запущенное от иного пользователя, может перехватить вводимые для разблокировки пароли.