Вы здесь

В Unity обнаружена потенциальная уязвимость

Опубликовано: пн, 28/04/2014 - 01:37
Reddit

В оболочке Unity была обнаружена уязвимость, касающаяся конфиденциальности данных. А конкретно - в поисковом "движке" соцсети Reddit, который, как оказалось, передает незашифрованные по SSL-протоколу данные, используя "голый" HTTP.

Первым данную уязвимость обнаружил администратор Reddit с ником alienth, просматривая серверные логи. В них обнаружились фразы, которые пользователи набирали в Unity Dash. Администратор наткнулся на запротоколированные попытки установки ПО через apt-get и решил, что это какая-то неудавшаяся хакерская атака. Однако позже он обратил внимание на User Agent, сообщавший, что это оболочка Unity:

{unity-scope-reddit|www.reddit.com|}

Судя по всему, кто-то из пользователей-новичков Ubuntu попросту ввел команду для установки ПО в Dash вместо терминала.

На данный момент еще неизвестно, какие конкретно версии Ubuntu подвержены этой уязвимости.

Пользователи Ubuntu в опасности?

Данная уязвимость является критической, но не представляет особой опасности для рядовых пользователей. Reddit существует уже не первый год и зарекомендовал себя как крайне надежный ресурс, который вряд ли будет каким-либо образом использовать данные. Да и, к тому же, пользователей невозможно вычислить по данным запросам, так как ни IP, ни какие-либо другие идентификационные данные помимо самого запроса не передаются.

Однако эта брешь наверняка станет аргументом для ненавистников Unity и Ubuntu. Особенно если вспомнить прошлые демагогии про приватность и рекламные предложения от Amazon.

Разработчики планируют выпустить заплатку уже в начале этой недели. Однако они собираются не просто прикрыть уязвимость, но и запретить "движок" Reddit по умолчанию. Использовать его можно будет лишь принудительно (например, при помощи запросов "r:ubuntu” или “reddit:ubuntu”) либо активировав соответствующую опцию.

Если вы хотите отключить "движок" Reddit уже сейчас, можете это сделать по данному руководству. Либо же отключить результаты поиска в Интернете полностью через Параметры системы - Защита и приватность - Поиск.

По материалам: OMGubuntu.


Теги:

Комментарии

Поиск в интернете давно выключил для ускорения работы.

Аватар пользователя ram32

Гость, скорее всего через Параметры системы - Защита и приватность - Поиск.

Аватар пользователя Волхв

Подтверждаю. Эта фигня, если не отключить поиск,  намного медленнее работает. И вообще, эта цкленность на интернете и облаках начинает бесить.

Добавить комментарий