На прошлой неделе разработчики KDE предупредили пользователей Linux о необходимости соблюдать «крайнюю осторожность» при установке глобальных тем, даже из официального магазина KDE Store. Дело в том, что эти темы способны выполнять произвольный код на устройствах для кастомизации внешнего вида рабочего стола.
Сейчас любой желающий может загружать новые темы, плагины и дополнения в KDE Store, и никаких проверок на вредоносное поведение не требуется. При этом разработчики сообщили, что в настоящее время у них не хватает ресурсов для проверки кода каждой глобальной темы, которую предлагается включить в официальный магазин. А если темы окажутся неисправными или вредоносными, это может привести к неожиданным последствиям.
«Глобальные темы и виджеты, созданные сторонними разработчиками для Plasma, могут и будут выполнять произвольный код. Мы рекомендуем вам проявлять крайнюю осторожность при использовании этих продуктов. Глобальные темы меняют не только внешний вид Plasma, но и поведение. Для этого они выполняют код, а этот код может работать некорректно. То же самое касается виджетов и плазмоидов», — сообщают в KDE.
Поводом для публикации этого предупреждения послужила жалоба пользователя Reddit, который рассказал, что после установки одной из глобальных тем для Plasma он потерял все свои файлы. Дело в том, что после установки тема удалила все личные данные с подключенных дисков с помощью rm -rf.
«Она [тема] выполняет rm -rf от вашего имени и немедленно удаляет все личные данные. Без вопросов, — рассказал пострадавший. — Я отменил действие, когда она запросила мой root-пароль, но для моих личных данных было уже слишком поздно. Все диски, смонтированные под моим пользователем, были очищены до 0 байт. Игровые конфигурации, данные браузера, домашняя папка, все исчезло».
Хотя проблемная тема, от которой пострадал пользователь, в итоге была удалена из KDE Store, установка других глобальных тем тоже может привести к потере данных и другим неприятным последствиям.
Учитывая риски, связанные с установкой непроверенных решений для Plasma, KDE просит комьюнити сообщать о некачественном и потенциально опасном ПО, уже доступном в KDE Store. Также разработчики пообещали следить за содержимым магазина и доработать предупреждения, которые видят пользователи перед установкой тем и плагинов, созданных сообществом. Однако все это потребует «времени и ресурсов», а пока пользователям рекомендуется проявлять осторожность при установке и запуске софта.
