Mehrere Sicherheitslücken in KDE

Heap Overflows durch manipulierte PDFs und JavaScript

Durch einen Fehler im JavaScript-Interpreter der Linux-Desktop-Umgebung KDE können Angreifer beliebigen Programmcode auf dem System des Opfers ausführen. Zudem bestehen noch immer Fehler, die auf die Sicherheitslücken in Xpdf zurückgehen und ebenfalls die Ausführung beliebigen Codes ermöglichen. Die bereitgestellten Patches versprechen jedoch Abhilfe.

Artikel veröffentlicht am , Julius Stiebert

Beide Probleme betreffen alle KDE-Versionen von KDE 3.2 bis einschließlich KDE 3.5, die Verwundbarkeit durch PDFs betrifft zusätzlich KOffice 1.3 bis einschließlich KOffice 1.4.2. Der Fehler in KJS, dem JavaScript-Interpreter, kann zu einem Buffer Overflow beim Lesen bestimmter URI-Sequenzen in UTF-8 führen. Dadurch kann die betroffene Anwendung, beispielsweise der Webbrowser Konqueror, zum Absturz gebracht werden und der Angreifer erhält die Möglichkeit, beliebigen Programmcode auszuführen.

Stellenmarkt
  1. Senior Customer Solution Architect (m/w/d) - Behördennetze
    Vodafone GmbH, Unterföhring
  2. Prozess- und Projektmanager (m/w/d)
    Radeberger Gruppe KG, Frankfurt am Main
Detailsuche

Bereits Anfang Dezember 2005 wurden vier kritische Sicherheitslücken in Xpdf gemeldet, die auch das auf Xpdf basierende KPDF betrafen. Die daraufhin vom KDE-Projekt zur Verfügung gestellten Updates waren jedoch unvollständig, wie sich jetzt herausstellte. Auch durch diese Sicherheitslücken ist es Angreifern möglich, einen Heap Overflow zu verursachen und dann mit den Rechten des Xpdf-Prozesses beliebigen Programmcode auszuführen.

Das KDE-Projekt hat Patches für den Quelltext veröffentlicht, die Links für die unterschiedlichen KDE-Versionen finden sich in den Security Advisories. Binärpakete sollten die einzelnen Linux-Distributoren in Kürze zur Verfügung stellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


kde 23. Jan 2006

Ich auch noch !!!

juerfi 23. Jan 2006

Was willst Du dann hier ? (reimt sich sogar)

taranus 20. Jan 2006

Ich kann Dir da nur zustimmen, viele pupertierende Jugendliche unterwegs in diesem...

TS 20. Jan 2006

Der Bericht ist nicht ganz sauber! Xpdf wurde in einigen Distris, darunter Gentoo, gegen...

Private Paula 20. Jan 2006

Das Problem ist, dass bei neu hinzugefuegtem Code mal kurz drueber geschaut wird, und...



Aktuell auf der Startseite von Golem.de
Softwarepatent
Uraltpatent könnte Microsoft Millionen kosten

Microsoft hat eine Klage um ein Software-Patent vor dem BGH verloren. Das Patent beschreibt Grundlagentechnik und könnte zahlreiche weitere Cloud-Anbieter betreffen.
Ein Bericht von Stefan Krempl

Softwarepatent: Uraltpatent könnte Microsoft Millionen kosten
Artikel
  1. Krypto: Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten
    Krypto
    Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten

    Ein Gericht hat entschieden, dass Craig Wright der Familie seines Geschäftspartners keine Bitcoins schuldet - kommt jetzt der Beweis, dass er Satoshi Nakamoto ist?

  2. Tim Cook: Apple traf geheime Absprache mit chinesischer Regierung
    Tim Cook
    Apple traf geheime Absprache mit chinesischer Regierung

    Tim Cook soll 2016 in China für Apple lobbyiert haben - der Deal soll 275 Milliarden US-Dollar wert sein. Öffentlich gemacht wurde die Absprache nicht.

  3. Spielfilm: Matrix trifft Unreal Engine 5
    Spielfilm
    Matrix trifft Unreal Engine 5

    Ist der echt? Neo taucht in einem interaktiven Programm auf Basis der Unreal Engine 5 auf. Der Preload ist bereits möglich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Weihnachtsgeschenkt (u. a. 3 Spiele kaufen, nur 2 bezahlen) • PS5 & Xbox Series X mit o2-Vertrag bestellbar • Apple Days bei Saturn (u. a. MacBook Air M1 949€) • Switch OLED 349,99€ • Saturn-Advent: HP Reverb G2 + Controller 499,99€ • Logitech MX Keys Mini 89,99€ [Werbung]
    •  /