Апр 28, 2014 - 0 Comments - Linux -

В Unity обнаружена потенциальная уязвимость

В оболочке Unity была обнаружена уязвимость, касающаяся конфиденциальности данных. А конкретно — в поисковом «движке» соцсети Reddit, который, как оказалось, передает незашифрованные по SSL-протоколу данные, используя «голый» HTTP.

Первым данную уязвимость обнаружил администратор Reddit с ником alienth, просматривая серверные логи. В них обнаружились фразы, которые пользователи набирали в Unity Dash. Администратор наткнулся на запротоколированные попытки установки ПО через apt-get и решил, что это какая-то неудавшаяся хакерская атака. Однако позже он обратил внимание на User Agent, сообщавший, что это оболочка Unity:

{unity-scope-reddit|www.reddit.com|}

Судя по всему, кто-то из пользователей-новичков Ubuntu попросту ввел команду для установки ПО в Dash вместо терминала.

На данный момент еще неизвестно, какие конкретно версии Ubuntu подвержены этой уязвимости.

Данная уязвимость является критической, но не представляет особой опасности для рядовых пользователей. Reddit существует уже не первый год и зарекомендовал себя как крайне надежный ресурс, который вряд ли будет каким-либо образом использовать данные. Да и, к тому же, пользователей невозможно вычислить по данным запросам, так как ни IP, ни какие-либо другие идентификационные данные помимо самого запроса не передаются.

Однако эта брешь наверняка станет аргументом для ненавистников Unity и Ubuntu. Особенно если вспомнить прошлые демагогии про приватность и рекламные предложения от Amazon.

Разработчики планируют выпустить заплатку уже в начале этой недели. Однако они собираются не просто прикрыть уязвимость, но и запретить «движок» Reddit по умолчанию. Использовать его можно будет лишь принудительно (например, при помощи запросов «r:ubuntu” или “reddit:ubuntu”) либо активировав соответствующую опцию.

Если вы хотите отключить «движок» Reddit уже сейчас, можете это сделать по данному руководству. Либо же отключить результаты поиска в Интернете полностью через Параметры системы — Защита и приватность — Поиск.

По материалам: OMGubuntu.



Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Человек ? *