Разработчики KDE Connect предупредили об угрозе безопасности в версиях после марта 2025 года

2025-12-01 2050 комментарии
Реализация протокола KDE Connect версии 8 содержит уязвимость, допускающую полный обход аутентификации через подмену пакетов. Под угрозой находятся пользователи Desktop-клиента, GSConnect, Valent и мобильных приложений. Разработчики рекомендуют обновление или временный отказ от использования

Для популярного кросс-платформенного приложения KDE Connect был выпущен бюллетень безопасности. Инструмент, предназначенный для передачи файлов и взаимодействия между устройствами, содержит ошибку в протоколе, которая может позволить злоумышленнику полностью обойти процедуру аутентификации. Уязвимости присвоен идентификатор CVE-2025-66270.

Детали технической проблемы

Корень проблемы кроется в реализации версии 8 протокола KDE Connect, которая была внедрена в версиях программного обеспечения, выпущенных после марта 2025 года. В этой версии протокола процесс обнаружения других устройств в сети включает дополнительный обмен пакетами данных между двумя сторонами.

Механизм работает следующим образом: первый пакет используется для определения статуса сопряжения устройства, а дополнительный пакет предназначен для идентификации подключаемого гаджета.

Уязвимость заключается в том, что проблемные реализации KDE Connect не выполняли проверку соответствия идентификатора устройства (Device ID) в первом пакете и идентификатора во втором пакете. Злоумышленники могут использовать это упущение для подмены устройства.

Сценарий атаки

Атака осуществляется в два этапа:

  1. Сначала злоумышленник отправляет идентификатор несопряженного устройства. Поскольку устройство не сопряжено, система не требует аутентификации на этом этапе.

  2. Затем злоумышленник отправляет идентификатор сопряженного (доверенного) устройства.

Из-за отсутствия сверки идентификаторов между пакетами, система воспринимает атакующего как доверенное устройство, позволяя ему действовать от чужого имени.

Список уязвимых версий

Разработчики опубликовали список версий программного обеспечения, подверженных данной уязвимости. Проблема затрагивает не только основной клиент, но и сторонние реализации, такие как GSConnect и Valent.

KDE Connect (десктопная версия):

  • версии от 25.04 до 25.12 (не включая)

KDE Connect для iOS:

  • версии от v0.5.2 до v0.5.4 (не включая)

KDE Connect для Android:

  • версии от v1.33.0 до v1.34.4 (не включая)

GSConnect (реализация для GNOME):

  • версии от 59 до 68 (не включая)

Valent (реализация для GTK):

  • версии от v1.0.0.alpha.47 до v1.0.0.alpha.49 (не включая)

Рекомендации по безопасности

Разработчики KDE настоятельно рекомендуют временно прекратить использование KDE Connect до тех пор, пока ваш дистрибутив Linux не выпустит соответствующее обновление с исправлением. Опытные пользователи, имеющие соответствующие навыки, могут применить патч вручную.

Linux: обзоры и обновления

Разработка KDE Plasma 6.6: оптимизация пользовательского интерфейса и расширенная поддержка оборудования
Релиз-кандидат Wine 11.0: исправления для Mass Effect и Photoshop, внедрение TWAINDSM
Линус Торвальдс в гостях у Linus Tech Tips: ключевые тезисы о ядре Linux, выборе дистрибутива и оборудовании
Ubuntu Pro приходит в WSL: корпоративные функции Linux теперь доступны пользователям Windows
Mesa 25.2.8 и 25.3.1 вышли с исправлениями для реализации графических API Vulkan и OpenGL в Linux
Повышение стабильности ReactOS: устранены причины синих экранов смерти при работе с USB-устройствами

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте

Новое на сайте Comss.one ×