Mehrere Sicherheitslücken in KDE

Heap Overflows durch manipulierte PDFs und JavaScript. Durch einen Fehler im JavaScript-Interpreter der Linux-Desktop-Umgebung KDE können Angreifer beliebigen Programmcode auf dem System des Opfers ausführen. Zudem bestehen noch immer Fehler, die auf die Sicherheitslücken in Xpdf zurückgehen und ebenfalls die Ausführung beliebigen Codes ermöglichen. Die bereitgestellten Patches versprechen jedoch Abhilfe.

20. Januar 2006 um 10:08 Uhr / Julius Stiebert

57 Kommentare News folgen (öffnet im neuen Fenster)

Beide Probleme betreffen alle KDE-Versionen von KDE 3.2 bis einschließlich KDE 3.5, die Verwundbarkeit durch PDFs betrifft zusätzlich KOffice 1.3 bis einschließlich KOffice 1.4.2. Der Fehler in KJS(öffnet im neuen Fenster) , dem JavaScript-Interpreter, kann zu einem Buffer Overflow beim Lesen bestimmter URI-Sequenzen in UTF-8 führen. Dadurch kann die betroffene Anwendung, beispielsweise der Webbrowser Konqueror, zum Absturz gebracht werden und der Angreifer erhält die Möglichkeit, beliebigen Programmcode auszuführen.

Bereits Anfang Dezember 2005 wurden vier kritische Sicherheitslücken in Xpdf gemeldet, die auch das auf Xpdf basierende KPDF betrafen. Die daraufhin vom KDE-Projekt zur Verfügung gestellten Updates waren jedoch unvollständig, wie sich jetzt herausstellte. Auch durch diese Sicherheitslücken ist es Angreifern möglich, einen Heap Overflow zu verursachen und dann mit den Rechten des Xpdf-Prozesses beliebigen Programmcode auszuführen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

SAP SD Consultant (m/f/d) TecAlliance GmbH, Köln,Grafenrheinfeld,Ismaning,Weikersheim,Home Office (öffnet im neuen Fenster)

Hardwaretechniker / IT-Systemelektroniker (m/w/d) – Computer- & Servermontage sowie Reparatur Systerra Computer GmbH, Wiesbaden (öffnet im neuen Fenster)

Ausbildung Fachinformatiker/in Systemintegration (m/w/d) 2026 Andritz Küsters GmbH, Krefeld (öffnet im neuen Fenster)

IT-Anwendungsentwickler (m/w/d) DV Immobilien Management GmbH, Regensburg (öffnet im neuen Fenster)

Cyber Security Engineer (m/w/d) WITRON Systemhaus GmbH, Parkstein (öffnet im neuen Fenster)

Linux-Spezialistin / Linux-Spezialist (m/w/d) für Containerisierung, Automation und Monitoring Zweckverband Kommunales Rechenzentrum Niederrhein (KRZN), Kamp-Lintfort (öffnet im neuen Fenster)

Projektleiter (m/w/d) für PLM/PDM Projekte CIDEON Software & Services GmbH & Co. KG, Berlin (öffnet im neuen Fenster)

IT-Systemadministrator (m/w/d) FleuraMetz Deutschland GmbH, Hannover (öffnet im neuen Fenster)

Das KDE-Projekt hat Patches für den Quelltext veröffentlicht, die Links für die unterschiedlichen KDE-Versionen finden sich in den Security Advisories(öffnet im neuen Fenster) . Binärpakete sollten die einzelnen Linux-Distributoren in Kürze zur Verfügung stellen.

Zur Startseite 57 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Kritische Sicherheitslücken in Xpdf

Manipulierte PDF-Dateien können Heap Overflows verursachen. Der freie PDF-Betrachter Xpdf enthält vier kritische Sicherheitslücken, durch die Angreifer beliebigen Programmcode ausführen können. Auch die aktuelle Version 3.01 ist betroffen, die Entwickler bieten aber bereits einen Patch an.

Relevante Themen