StarDict, X11 panosunu uzak sunucuya gönderiyor

 (lwn.net)
1 puan yazan GN⁺ 2025-08-13 | Henüz yorum yok. | WhatsApp'ta paylaş
  • StarDict'in X11 ortamında kullanıcının seçtiği metni şifrelenmemiş HTTP ile harici sunuculara gönderen ciddi bir güvenlik sorunu taşıdığı ortaya çıktı
  • Sorun, Debian'ın varsayılan yapılandırmasında YouDao ve dict.cn eklentilerinin varsayılan olarak etkin olması nedeniyle ortaya çıkıyor
  • Bu işlev, kullanıcı herhangi bir metni seçtiğinde otomatik olarak sunucuya gönderildiği anlamına geliyor ve hassas bilgi sızıntısı riski oluşturuyor
  • Paket yöneticileri özelliğin devre dışı bırakılması ve eklentilerin ayrılması önerilerini değerlendirse de temel bir çözümün uygulanması yetersiz kaldı
  • Bu sorun geçmişte de birkaç kez gündeme geldi, ancak tam bir karşılık verilememesi ve güvenlik farkındalığının önemini yeniden ortaya koyuyor

StarDict'in çalışma biçimi ve güvenlik sorununun özeti

  • StarDict, GPLv3 lisanslı çapraz platform bir sözlük uygulaması olup, geniş dil desteği ve eklenti ekosistemine sahip
  • Debian'ın varsayılan yapılandırmasında StarDict çalıştırıldığında, kullanıcının seçtiği metin şifrelenmemiş HTTP üzerinden youdao.com ve dict.cn adlı iki uzak sunucuya gönderiliyor
  • Bu sorun oss-security posta listesine ve Debian hata takip sistemine de bildirildi

Sorunun ayrıntıları

  • StarDict tasarımında sözlük web siteleriyle iletişim kuran kod bulunması doğal sayılabilir, ancak "tarama" işlevi varsayılan olarak etkin
    • Bu, kullanıcının fareyle bir metin seçtiğinde otomatik olarak çeviri açılır penceresinin gösterildiği ve ilgili metnin harici sunucuya otomatik gönderildiği anlamına geliyor
    • Özellikle kullanıcı StarDict'i arka planda sürekli çalışır halde bıraktığında sorun daha ciddi hale geliyor

Linux ortamlarına göre farklar

  • Wayland ortamında StarDict diğer uygulamalardaki metni yakalayamadığı için tarama işlevi çalışmıyor ve bu nedenle güvenlik sorunu ortaya çıkmıyor
  • Bu sorun yalnızca geleneksel X11 ortamında mevcut

Debian ve StarDict geliştiricilerinin tepkisi

  • Debian paket yöneticisi Xiao Sheng Wen, "Tarama işlevi ve YouDao eklentisi devre dışı bırakılabilir" diyerek bunu büyük bir sorun olarak görmedi
  • Buna karşılık bildirimi yapan Vincent Lefevre, "gizlilikle ilgili işlevler varsayılan olarak mutlaka devre dışı olmalı" diye vurguladı
  • İşlev paket açıklamasıyla duyurulabilir, ancak stardict-plugin açıklamasında çevrimiçi sözlük kullanımından söz edilmiyor
  • Eklentilerin ayrılması gibi iyileştirme önerileri bulunsa da hemen bir adım atılmış değil

Kullanışlılık ile güvenlik kaygıları

  • Tarama işlevi, yabancı dilde okuma yaparken hızlı sözlük araması gerektiğinde StarDict'in başlıca avantajlarından biri
  • Ancak kullanıcıların bu iletişimin şifrelenmediğini öngörmesi zor. Aradaki herhangi biri hassas metinleri görme riski taşıyor

Geçmişteki benzer güvenlik olayları ve müdahale

  • 2009 ve 2015 yıllarında da benzer vakalar bildirildi
    • 2009: ağ sözlüğünü varsayılan olarak devre dışı bırakma ayarı kısa süreliğine uygulanmıştı
    • Ancak 2016'da eklenen YouDao eklentisi bu ayarı yok saydı
    • 2015'teki sorun ise ancak 2025'te eklentinin kaldırılmasıyla çözüldü
  • Bu tablo, sorunların tekrarlaması ve müdahalenin gecikmesi, bakım sorumlularının değişmesi ve önceliklendirme eksikliğinin yinelendiğini gösteriyor

Kullanıcı sayısı ve güvenlik etkisi

  • Debian istatistiklerine göre şu anda StarDict'i kurup kullanan yalnızca yaklaşık 178 kişi var; ancak istatistiklere katılmayan sistemler de hesaba katıldığında, yıllar boyunca çok sayıda kullanıcı metin sızıntısı riskine maruz kalmış olabilir
  • Parola kopyalama, hassas e-postalar, belge düzenlerken seçilen metinler gibi içeriklerin olduğu gibi dışarı sızma ihtimali bulunuyor

Açık kaynak ekosistemi ve güvenlik gündemi

  • Debian gibi büyük dağıtımlar çok sayıda paketi yönetiyor ve güncellemelerin atlanması ile yazılımların eskimesi sık görülüyor
  • "Yeterince çok kişi bakarsa tüm hatalar sığdır" şeklindeki Linus yasası, ancak gerçekten birinin hatayı bulup bildirmesi ve bakımcının da bunu sorun olarak kabul edip düzeltmesiyle geçerli oluyor

X11'den Wayland'e geçiş

  • Wayland'e geçiş, özellikle uygulamalar arası bilgi sızıntısı gibi bu tür güvenlik açıklarının ortaya çıkma olasılığını azaltmayı amaçlıyor
  • Ancak bununla birlikte işlevsel rahatsızlıklar ve yeni izin yönetimi biçimleri de çözülmesi gereken konular olarak kalıyor

Sonuç ve çıkarımlar

  • Keşfedilen, teşhis edilen ve bildirilen güvenlik sorunlarının hâlâ çözülmeden kalabilmesi ya da yeniden ortaya çıkabilmesi endişe veriyor
  • Linux'un güvenlik itibarını korumak için açık kaynak geliştiricilerin, paket bakımcılarının ve kullanıcıların sorunların farkında olması ve hızlı tepki vermesi şart

İlgili okumalar

Henüz yorum yok.

Henüz yorum yok.