• IT-Karriere:
  • Services:

Mehrere Sicherheitslücken in KDE

Heap Overflows durch manipulierte PDFs und JavaScript

Durch einen Fehler im JavaScript-Interpreter der Linux-Desktop-Umgebung KDE können Angreifer beliebigen Programmcode auf dem System des Opfers ausführen. Zudem bestehen noch immer Fehler, die auf die Sicherheitslücken in Xpdf zurückgehen und ebenfalls die Ausführung beliebigen Codes ermöglichen. Die bereitgestellten Patches versprechen jedoch Abhilfe.

Artikel veröffentlicht am , Julius Stiebert

Beide Probleme betreffen alle KDE-Versionen von KDE 3.2 bis einschließlich KDE 3.5, die Verwundbarkeit durch PDFs betrifft zusätzlich KOffice 1.3 bis einschließlich KOffice 1.4.2. Der Fehler in KJS, dem JavaScript-Interpreter, kann zu einem Buffer Overflow beim Lesen bestimmter URI-Sequenzen in UTF-8 führen. Dadurch kann die betroffene Anwendung, beispielsweise der Webbrowser Konqueror, zum Absturz gebracht werden und der Angreifer erhält die Möglichkeit, beliebigen Programmcode auszuführen.

Stellenmarkt
  1. TenneT TSO GmbH, Bayreuth
  2. Hessisches Ministerium der Finanzen, Wiesbaden

Bereits Anfang Dezember 2005 wurden vier kritische Sicherheitslücken in Xpdf gemeldet, die auch das auf Xpdf basierende KPDF betrafen. Die daraufhin vom KDE-Projekt zur Verfügung gestellten Updates waren jedoch unvollständig, wie sich jetzt herausstellte. Auch durch diese Sicherheitslücken ist es Angreifern möglich, einen Heap Overflow zu verursachen und dann mit den Rechten des Xpdf-Prozesses beliebigen Programmcode auszuführen.

Das KDE-Projekt hat Patches für den Quelltext veröffentlicht, die Links für die unterschiedlichen KDE-Versionen finden sich in den Security Advisories. Binärpakete sollten die einzelnen Linux-Distributoren in Kürze zur Verfügung stellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. (u. a. Galaxy S21 mit Galaxy Buds Pro In-Ears und Galaxy Smart Tag für 849€)
  2. 819€ (Ebay Plus - Bestpreis)
  3. 189,99€ (Bestpreis)
  4. 189€ (Bestpreis)

kde 23. Jan 2006

Ich auch noch !!!

juerfi 23. Jan 2006

Was willst Du dann hier ? (reimt sich sogar)

taranus 20. Jan 2006

Ich kann Dir da nur zustimmen, viele pupertierende Jugendliche unterwegs in diesem...

TS 20. Jan 2006

Der Bericht ist nicht ganz sauber! Xpdf wurde in einigen Distris, darunter Gentoo, gegen...

Private Paula 20. Jan 2006

Das Problem ist, dass bei neu hinzugefuegtem Code mal kurz drueber geschaut wird, und...


Folgen Sie uns
       


Gaming auf dem Chromebook ausprobiert

Wir haben uns Spielestreaming und natives Gaming auf dem Chromebook angesehen.

Gaming auf dem Chromebook ausprobiert Video aufrufen
Star Wars und Star Trek: Was The Mandalorian besser macht als Discovery
Star Wars und Star Trek
Was The Mandalorian besser macht als Discovery

Unabhängig von der Story und davon, ob man Star Trek oder Star Wars lieber mag - nach den jüngsten Staffeln wird deutlich: Discovery kann handwerklich nicht mit The Mandalorian mithalten. Achtung, Spoiler!
Ein IMHO von Tobias Költzsch

  1. Lucasfilm Games Ubisoft entwickelt Open World mit Star Wars
  2. Krieg der Sterne Star Wars spielt unter dem Logo von Lucasfilm Games
  3. Star Wars chronologisch Über 150 Stunden Krieg der Sterne

Boeing 737 Max: Neustart mit Hindernissen
Boeing 737 Max
Neustart mit Hindernissen

Die Boeing 737 ist nach dem Flugzeugabsturz in Indonesien wieder in den Schlagzeilen. Die Version Max darf seit Dezember wieder fliegen - doch Kritiker halten die Verbesserungen für unzureichend.
Ein Bericht von Friedrich List

  1. Flugzeug Boeing erhält den letzten Auftrag für den Bau der 747
  2. Boeing 737 Max Boeing-Strafverfahren gegen hohe Geldstrafe eingestellt
  3. Zunum Luftfahrt-Startup verklagt Boeing

Facebook: Whatsapp stellt Nutzern ein Ultimatum
Facebook
Whatsapp stellt Nutzern ein Ultimatum

Nutzer, die den neuen Geschäftsbedingungen und der neuen Datenschutzerklärung nicht bis zum 8. Februar zustimmen, können Whatsapp nicht weiter verwenden.

  1. Watchchat Whatsapp mit der Apple Watch bedienen
  2. Strafverfolgung BKA liest Nachrichten per Whatsapp-Synchronisation mit
  3. Weitergabe von Metadaten Whatsapp widerspricht Datenschutzbeauftragtem Kelber

    •  /