Sicherheitslücke in KDE

Angreifer könnten Zugriff auf persönliche Dateien und E-Mails erhalten. Nachdem iDefense vor rund einer Woche auf eine Sicherheitslücke im Web-Browser Opera hingewiesen hatte, haben die Entwickler von KDE nun auf eine ähnliche Sicherheitslücke(öffnet im neuen Fenster) in KDE aufmerksam gemacht. Damit ist es Angreifern möglich, Dateien auf verwundbaren Systemen zu verändern.

18. Mai 2004 um 11:45 Uhr / Jens Ihlenfeld

Kommentare News folgen (öffnet im neuen Fenster)

Der Fehler liegt in den URI-Handlern für telnet, rlogin, ssh und mailto, die nicht auf ein dem Hostnamen vorangestelltes '-' geprüft werden. Damit ist es möglich, über eine URL Optionen an Programme, die per URI aufgerufen werden, zu übergeben.

Auf diese Weise könnte ein Angreifer, der einen Nutzer dazu verleitet, eine entsprechende URI aufzurufen, Dateien mit den Rechten dieses Nutzers erstellen oder verkürzen. In KDE 3.2 und höher wird der User aber explizit gefragt, ob er eine solche URI öffnen will.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Microsoft Cloud verwalten auf höchstem Niveau

zum Ratgeber

Seminar: Green IT, Sustainability, CSRD – Nachhaltigkeit als Wettbewerbsvorteil: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Remoteverwaltung und Daten formatieren mit der PowerShell (E-Learning)

zum Kurs

Die KDE-Entwickler beschreiben ein mögliches Angriffsszenario, indem über eine spezielle URL der E-Mail-Client KMail gestartet werden kann, wobei die Ausgabe auf einen anderen Bildschirm umgeleitet wird. Der Angreifer könnte so auf die E-Mails und persönlichen Dateien des Nutzers zugreifen.

Abhilfe steht derzeit nur in Form von Quelltext-Patches(öffnet im neuen Fenster) zur Verfügung.

Zur Startseite Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Opera behebt klammheimlich Browser-Sicherheitslücken (Upd.)

Sicherheitslücken in Opera 7.23; auch Firefox, Konqueror und Safari betroffen. Erst nach dem Erscheinen von Opera 7.50 wurde bekannt, dass in Opera 7.23 zwei unterschiedliche Sicherheitslücken stecken, die mit der aktuellen Version behoben wurden. Unter besonderen Umständen wird eine URL auf Grund eines Fehlers falsch in der Adresszeile angezeigt. Eine weitere Sicherheitslücke betrifft die Nutzung von telnet, worüber ein Angreifer Daten anlegen oder überschreiben kann. Opera selbst machte keine Angaben zu den Sicherheitslücken. Die telnet-Sicherheitslücke soll auch in den Browsern Firefox, Konqueror und Safari stecken.

Relevante Themen