En popüler Linux dağıtımı olan Ubuntu, Ukrayna çevirilerinin nefret söylemini içerdiği keşfedildikten sonra masaüstü sürümünü 23.10 çekti.
Ubuntu projesine göre, kötü niyetli bir katkıda bulunan, Ubuntu arşivinin dışında yaşayan bir "üçüncü taraf aracı" aracılığıyla dağıtıma enjekte edilen anti-Semitik, homofobik ve yabancı düşmanlığı slurs'ın arkasında.
Bu hafta Ubuntu, Ukrayna sürümünde gömülü hakaret iplerini tespit ettikten sonra masaüstü yükleyicisini 23.10'u indirdi.
Proje, "Ubuntu arşivinin dışındaki bir üçüncü taraf aracının bir parçası olarak gönderilen bazı çevirilerimizde kötü niyetli bir katkıda bulunan nefret söylemini belirledik."
"Ubuntu 23.10 görüntüsü kaldırıldı ve doğru çeviriler geri yüklendikten sonra yeni bir sürüm sunulacak."
Topluluk forumunda, Ubuntu ekibi ayrıca, kötü niyetli Ukrayna çevirilerinin, bir topluluk katkısı tarafından Ubuntu masaüstü yükleyicisinin dil desteği sağladığı için "kamu, üçüncü taraf çevrimiçi hizmetine" katkıda bulunduğunu açıkladı.
"Ubuntu 23.10'un serbest bırakılmasından yaklaşık üç saat sonra bu gerçek dikkatimizi çekti ve hemen etkilenen görüntüleri kaldırdık. İlk triyajı tamamladıktan sonra, olayın sadece canlı CD ortamı (yükseltme değil) üzerinden kurulum sırasında bir kullanıcıya sunulan çevirileri etkilediğine inanıyoruz. Kurulum sırasında çeviriler sadece bellekte ikamet eder ve diske yayılmaz. Önceki bir sürümden Ubuntu Desktop 23.10'a yükseltildiyseniz, bu sorundan etkilenmezsiniz. Etkilenen görüntüler Ubuntu Desktop 23.10 ve Ubuntu Budgie 23.10 idi. Ubuntu masaüstü Legacy ISO hala mevcuttur ve etkilenmez. Çevirilerin uygulamaların uluslararasılaşmasını destekleyen veri dosyaları olduğunu lütfen unutmayın. Bu dosyalar, daha sonra Ubuntu'ya entegre edilen bireylerin katkılarıyla üçüncü taraf çevrimiçi sistemlerin desteği ile güncellenir. Bu işbirliği yolu zayıflatıldığında ve sosyal saldırganlık mekanizması olarak kullanıldığında talihsiz bir durumdur. Canonical ve Ubuntu, 21. Davranış Kurallarımıza göre, nefret söylemini veya herhangi bir tür saldırı dilini göz ardı etmezler. "
Reddit kullanıcıları [1, 2] tarafından tespit edilen ve BleepingComputer tarafından görülen bir GitHub çekme isteği, 12 Ekim civarında "aşağılayıcı [yerelleştirme] dizeleri" ni kaldırdı.
BleepingComputer, şifreli kötü niyetli Ukrayna dizelerinin, bir kullanıcı tarafından "Danilo Negrilo" adıyla çeviriler dosyasının sonuna doğru enjekte edildiğini gözlemledi.
Her ne kadar kötü huylu çeviriler Orta Doğu'daki artan gerilimler döneminde keşfedilmiş olsa da, taahhüt tarihi, İsrail-Hamas savaşının yürürlüğe girmesinden önce 22 Eylül civarında meydana gelen sabotajın gerçekleştiğini doğruladı.
Bu olayın etkisi çevirilerle sınırlı kalmıştır, kullanıcılar gelecekteki Ubuntu sürümlerinde benzer şekilde bağımlılıklar yoluyla enjekte edilebilecek kötü amaçlı yazılım olasılığı konusunda endişeler yaratmışlardır.
"Ubuntu'ya güveniyorum çünkü en yaygın olarak kullanılan şeydir, bu yüzden en iyi inceleme ekibine sahip olmalıdır, ancak bu çevirilerle ve hiç kimse görmediyse, kötü amaçlı yazılımlarla bağımlılıklarla hayal edin," X (eski adıyla Twitter) bir kullanıcı yayınladı. "Bence kimse hiçbir şey gözden geçirmiyor."
"Bu doğruysa, bu, dağıtımınızın İngilizce olmayan sürümlerini test etmediğiniz anlamına gelir." Dedi.
"Kötü niyetli aktörlerden kötü amaçlı yazılım olanakları çok büyük. Bu köprülenmesi gereken bir şey. Sen Elementaryos değilsin. Sen büyük bir şirketsiniz ve bu olmamalı."
Bununla birlikte, farklı dillerde gönderilen çevirileri gözden geçirmenin, geliştiricilerin kendileri bu dillerde yetkin olmadıkça, normal bir kod güvenlik denetimin tasarlanamayacağı çok daha zorlu bir görevdir.
Ayrıca, bağımlılıklar, kod ve açık kaynak bileşenleri, kötü amaçlı yazılımları engellemeye yönelik ayrı bir doğrulama sürecine geçebilir, bu gibi olayları keşfetmesi zor hale getirir.
Ubuntu şimdi Ukrayna çevirilerini "sabote edilmeden önce devlete" geri yükledi, ancak "resmi olarak kullanılabilir hale getirmeden önce daha geniş bir denetim" için ek zaman harcıyor.
Bu arada, kullanıcılara olaydan etkilenmeyen Legacy yükleyici ISO'yu kullanarak Ubuntu indirme sayfasından Ubuntu Desktop 23.10'u indirmeleri tavsiye edilir. Alternatif olarak, kullanıcılar daha önce desteklenen bir Ubutnu sürümünden yükseltebilir.
İsrail için Sahte 'Redalert' Roket Uyarısı Uygulaması Android Spyware
Discord hala kötü amaçlı yazılım aktivitesi - şimdi APT'ler eğlenceye katılıyor
Rus Sandworm Hacker'ları Mayıs ayından bu yana 11 Ukrayna telcosunu ihlal etti
Steam, kötü amaçlı yazılımlarla tahrikli güncellemeleri engellemek için SMS doğrulamasını zorlar
Romcom kötü amaçlı kimlik avı hedeflenen kadın siyasi liderler zirvesi
Kaynak: Bleeping Computer