• IT-Karriere:
  • Services:

Mehrere Sicherheitslücken in KDE

Heap Overflows durch manipulierte PDFs und JavaScript

Durch einen Fehler im JavaScript-Interpreter der Linux-Desktop-Umgebung KDE können Angreifer beliebigen Programmcode auf dem System des Opfers ausführen. Zudem bestehen noch immer Fehler, die auf die Sicherheitslücken in Xpdf zurückgehen und ebenfalls die Ausführung beliebigen Codes ermöglichen. Die bereitgestellten Patches versprechen jedoch Abhilfe.

Artikel veröffentlicht am , Julius Stiebert

Beide Probleme betreffen alle KDE-Versionen von KDE 3.2 bis einschließlich KDE 3.5, die Verwundbarkeit durch PDFs betrifft zusätzlich KOffice 1.3 bis einschließlich KOffice 1.4.2. Der Fehler in KJS, dem JavaScript-Interpreter, kann zu einem Buffer Overflow beim Lesen bestimmter URI-Sequenzen in UTF-8 führen. Dadurch kann die betroffene Anwendung, beispielsweise der Webbrowser Konqueror, zum Absturz gebracht werden und der Angreifer erhält die Möglichkeit, beliebigen Programmcode auszuführen.

Stellenmarkt
  1. SySS GmbH, Tübingen, Frankfurt am Main, München, Wien (Österreich)
  2. über duerenhoff GmbH, Lahr

Bereits Anfang Dezember 2005 wurden vier kritische Sicherheitslücken in Xpdf gemeldet, die auch das auf Xpdf basierende KPDF betrafen. Die daraufhin vom KDE-Projekt zur Verfügung gestellten Updates waren jedoch unvollständig, wie sich jetzt herausstellte. Auch durch diese Sicherheitslücken ist es Angreifern möglich, einen Heap Overflow zu verursachen und dann mit den Rechten des Xpdf-Prozesses beliebigen Programmcode auszuführen.

Das KDE-Projekt hat Patches für den Quelltext veröffentlicht, die Links für die unterschiedlichen KDE-Versionen finden sich in den Security Advisories. Binärpakete sollten die einzelnen Linux-Distributoren in Kürze zur Verfügung stellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (aktuell u. a. Netzteile von be quiet! zu Bestpreisen)
  2. 47€
  3. (u. a. NieR Automata für 13,99€ und PSN Card 25 Euro [DE] für 21,99€ - Bestpreise!)
  4. (u. a. 3 Spiele für 49€ und SanDisk Ultra 400 GB microSDXC + Adapter für 47€)

kde 23. Jan 2006

Ich auch noch !!!

juerfi 23. Jan 2006

Was willst Du dann hier ? (reimt sich sogar)

taranus 20. Jan 2006

Ich kann Dir da nur zustimmen, viele pupertierende Jugendliche unterwegs in diesem...

TS 20. Jan 2006

Der Bericht ist nicht ganz sauber! Xpdf wurde in einigen Distris, darunter Gentoo, gegen...

Private Paula 20. Jan 2006

Das Problem ist, dass bei neu hinzugefuegtem Code mal kurz drueber geschaut wird, und...


Folgen Sie uns
       


Rahmenloser TV von Samsung (CES 2020)

Der fast unsichtbare Rand des Q950TS hat anscheinend nicht nur Vorteile.

Rahmenloser TV von Samsung (CES 2020) Video aufrufen
Schräges von der CES 2020: Die Connected-Kartoffel
Schräges von der CES 2020
Die Connected-Kartoffel

CES 2020 Wer geglaubt hat, er hätte schon alles gesehen, musste sich auch dieses Jahr auf der CES eines Besseren belehren lassen. Wir haben uns die Zukunft der Kartoffel angesehen: Sie ist smart.
Ein Bericht von Martin Wolf

  1. Smart Lock Netatmo und Yale zeigen smarte Türschlösser
  2. Eracing Simulator im Hands on Razers Renn-Simulator bringt uns zum Schwitzen
  3. Zu lange Ladezeiten Ford setzt auf Hybridantrieb bei autonomen Taxis

Kaufberatung (2020): Die richtige CPU und Grafikkarte
Kaufberatung (2020)
Die richtige CPU und Grafikkarte

Grafikkarten und Prozessoren wurden 2019 deutlich besser, denn AMD ist komplett auf 7-nm-Technik umgestiegen. Intel hat zwar 10-nm-Chips marktreif, die Leistung stagniert aber und auch Nvidia verkauft nur 12-nm-Designs. Wir beraten bei Komponenten und geben einen Ausblick.
Von Marc Sauter

  1. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen
  2. Schnittstelle PCIe Gen6 verdoppelt erneut Datenrate

Film: Wie sich Science-Fiction-Autoren das Jahr 2020 vorstellten
Film
Wie sich Science-Fiction-Autoren das Jahr 2020 vorstellten

Drachen löschen die Menschheit fast aus, Aliens löschen die Menschheit fast aus, Monster löschen die Menschheit fast aus: Das Jahr 2020 ist in Spielfilmen nicht gerade heiter.
Von Peter Osteried

  1. Alien Im Weltall hört dich keiner schreien
  2. Terminator: Dark Fate Die einzig wahre Fortsetzung eines Klassikers?
  3. Gemini Man Überflüssiges Klonexperiment

    •  /