В оболочке Unity была обнаружена уязвимость, касающаяся конфиденциальности данных. А конкретно - в поисковом "движке" соцсети Reddit, который, как оказалось, передает незашифрованные по SSL-протоколу данные, используя "голый" HTTP.
Первым данную уязвимость обнаружил администратор Reddit с ником alienth, просматривая серверные логи. В них обнаружились фразы, которые пользователи набирали в Unity Dash. Администратор наткнулся на запротоколированные попытки установки ПО через apt-get и решил, что это какая-то неудавшаяся хакерская атака. Однако позже он обратил внимание на User Agent, сообщавший, что это оболочка Unity:
{unity-scope-reddit|www.reddit.com|}
Судя по всему, кто-то из пользователей-новичков Ubuntu попросту ввел команду для установки ПО в Dash вместо терминала.
На данный момент еще неизвестно, какие конкретно версии Ubuntu подвержены этой уязвимости.
Пользователи Ubuntu в опасности?
Данная уязвимость является критической, но не представляет особой опасности для рядовых пользователей. Reddit существует уже не первый год и зарекомендовал себя как крайне надежный ресурс, который вряд ли будет каким-либо образом использовать данные. Да и, к тому же, пользователей невозможно вычислить по данным запросам, так как ни IP, ни какие-либо другие идентификационные данные помимо самого запроса не передаются.
Однако эта брешь наверняка станет аргументом для ненавистников Unity и Ubuntu. Особенно если вспомнить прошлые демагогии про приватность и рекламные предложения от Amazon.
Разработчики планируют выпустить заплатку уже в начале этой недели. Однако они собираются не просто прикрыть уязвимость, но и запретить "движок" Reddit по умолчанию. Использовать его можно будет лишь принудительно (например, при помощи запросов "r:ubuntu” или “reddit:ubuntu”) либо активировав соответствующую опцию.
Если вы хотите отключить "движок" Reddit уже сейчас, можете это сделать по данному руководству. Либо же отключить результаты поиска в Интернете полностью через Параметры системы - Защита и приватность - Поиск.
По материалам: OMGubuntu.
Комментарии
Поиск в интернете давно выключил для ускорения работы.
Как выключил?
Гость, скорее всего через Параметры системы - Защита и приватность - Поиск.
Подтверждаю. Эта фигня, если не отключить поиск, намного медленнее работает. И вообще, эта цкленность на интернете и облаках начинает бесить.
Волхв, +1
Добавить комментарий