KDE: Fehler in Kmail ermöglicht Man-in-the-Middle-Angriffe

Im Code des POP3-Kioslaves in KDEs E-Mail-Anwendung Kmail beziehungsweise in Kdelibs ist ein Fehler, durch den ungültige Zertifikate ohne Abfrage akzeptiert werden. Angreifer könnten sich so in den verschlüsselten E-Mail-Verkehr einklinken.

19. Juni 2014 um 10:25 Uhr / Jörg Thoma

1 Kommentare News folgen (öffnet im neuen Fenster)

Der POP3-Kioslave verarbeitet ungefragt auch ungültige Zertifikate. (Bild: KDE/Screenshot: Golem.de) — Der POP3-Kioslave verarbeitet ungefragt auch ungültige Zertifikate. Bild: KDE/Screenshot: Golem.de

Wer Kmail samt Kdelibs bis Version 4.13.2 nutzt, kann Opfer eines Man-in-the-Middle-Angriffs werden(öffnet im neuen Fenster) (CVE-2014-3494). Der für den Zugriff auf die verschiedenen Protokolle zuständige Kioslave akzeptiert bei POP3-Verbindungen auch unbekannte Zertifikate ohne Abfrage. Benutzern wird empfohlen, umgehend Version 4.13.3 der betroffenen Bibliothek einzuspielen. Einen Workaround gibt es nicht.

Angreifer könnten dem Betroffenen durch den Fehler ein Zertifikat unterschieben und so dessen E-Mail-Verkehr abgreifen, etwa auch Zugangsdaten, E-Mails oder andere persönliche Informationen. Der Kioslave initiiert keine Abfrage beim Nutzer, wenn er ein ungültiges Zertifikat verarbeitet. Zudem wird ein solches Zertifikat automatisch akzeptiert.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Bürosachbearbeiterinnen / Bürosachbearbeiter (m/w/d) im Facility Management Auswärtiges Amt, Berlin (öffnet im neuen Fenster)

Informatiker*in für die Mitarbeit im Labor Rechenzentrum Informatik HAW Hamburg, Hochschule für Angewandte Wissenschaften, Hamburg,Homeoffice (öffnet im neuen Fenster)

Berater (m/w/d) Transfergesellschaft & Outplacement PMB International GmbH, Gärtringen (öffnet im neuen Fenster)

Senior Data Architect (m/w/d) Bucher Hydraulics Erding GmbH, Unterföhring (öffnet im neuen Fenster)

IT-Architekt*in Infrastruktur und Systemlandschaft Landeshauptstadt Kiel, Kiel (öffnet im neuen Fenster)

IT Application Manager/in (m/w/d) Vollzeit / Teilzeit Pädagogische Hochschule Freiburg, Freiburg im Breisgau (öffnet im neuen Fenster)

Prozessmanager (m/w/d) PROSOZ Herten GmbH, Herten (öffnet im neuen Fenster)

Redakteur (m/w/d) in Teilzeit Schwerpunkt IT & Software Engineering develop group Holding AG, Erlangen (öffnet im neuen Fenster)

Betroffen sind alle Versionen der KDE-Bibliothek Kdelibs von Version 4.10.95 bis 4.13.2. Die Entwickler haben inzwischen ein Patch bereitgestellt(öffnet im neuen Fenster) .

Zur Startseite 1 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Relevante Themen