KDE: Fehler in Kmail ermöglicht Man-in-the-Middle-Angriffe
Im Code des POP3-Kioslaves in KDEs E-Mail-Anwendung Kmail beziehungsweise in Kdelibs ist ein Fehler, durch den ungültige Zertifikate ohne Abfrage akzeptiert werden. Angreifer könnten sich so in den verschlüsselten E-Mail-Verkehr einklinken.

Wer Kmail samt Kdelibs bis Version 4.13.2 nutzt, kann Opfer eines Man-in-the-Middle-Angriffs werden (CVE-2014-3494). Der für den Zugriff auf die verschiedenen Protokolle zuständige Kioslave akzeptiert bei POP3-Verbindungen auch unbekannte Zertifikate ohne Abfrage. Benutzern wird empfohlen, umgehend Version 4.13.3 der betroffenen Bibliothek einzuspielen. Einen Workaround gibt es nicht.
Angreifer könnten dem Betroffenen durch den Fehler ein Zertifikat unterschieben und so dessen E-Mail-Verkehr abgreifen, etwa auch Zugangsdaten, E-Mails oder andere persönliche Informationen. Der Kioslave initiiert keine Abfrage beim Nutzer, wenn er ein ungültiges Zertifikat verarbeitet. Zudem wird ein solches Zertifikat automatisch akzeptiert.
Betroffen sind alle Versionen der KDE-Bibliothek Kdelibs von Version 4.10.95 bis 4.13.2. Die Entwickler haben inzwischen ein Patch bereitgestellt.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Die Version 4.13.3 wird nach derzeitiger Planung wohl erst am 8.7. released. Das ist...