Original-URL des Artikels: https://www.golem.de/0601/42828.html    Veröffentlicht: 20.01.2006 10:08    Kurz-URL: https://glm.io/42828

Mehrere Sicherheitslücken in KDE

Heap Overflows durch manipulierte PDFs und JavaScript

Durch einen Fehler im JavaScript-Interpreter der Linux-Desktop-Umgebung KDE können Angreifer beliebigen Programmcode auf dem System des Opfers ausführen. Zudem bestehen noch immer Fehler, die auf die Sicherheitslücken in Xpdf zurückgehen und ebenfalls die Ausführung beliebigen Codes ermöglichen. Die bereitgestellten Patches versprechen jedoch Abhilfe.

Beide Probleme betreffen alle KDE-Versionen von KDE 3.2 bis einschließlich KDE 3.5, die Verwundbarkeit durch PDFs betrifft zusätzlich KOffice 1.3 bis einschließlich KOffice 1.4.2. Der Fehler in KJS, dem JavaScript-Interpreter, kann zu einem Buffer Overflow beim Lesen bestimmter URI-Sequenzen in UTF-8 führen. Dadurch kann die betroffene Anwendung, beispielsweise der Webbrowser Konqueror, zum Absturz gebracht werden und der Angreifer erhält die Möglichkeit, beliebigen Programmcode auszuführen.

Bereits Anfang Dezember 2005 wurden vier kritische Sicherheitslücken in Xpdf gemeldet, die auch das auf Xpdf basierende KPDF betrafen. Die daraufhin vom KDE-Projekt zur Verfügung gestellten Updates waren jedoch unvollständig, wie sich jetzt herausstellte. Auch durch diese Sicherheitslücken ist es Angreifern möglich, einen Heap Overflow zu verursachen und dann mit den Rechten des Xpdf-Prozesses beliebigen Programmcode auszuführen.

Das KDE-Projekt hat Patches für den Quelltext veröffentlicht, die Links für die unterschiedlichen KDE-Versionen finden sich in den Security Advisories. Binärpakete sollten die einzelnen Linux-Distributoren in Kürze zur Verfügung stellen.  (js)


Verwandte Artikel:
KDE: Kopete, Kate und KWrite mit Sicherheitsproblemen   
(21.07.2005, https://glm.io/39398 )
Kritische Sicherheitslücken in Xpdf   
(07.12.2005, https://glm.io/42050 )
Slimbook 2: KDE aktualisiert Community-Laptop   
(12.02.2018, https://glm.io/132722 )
Sicherheitslücke in PDF-Viewern für Linux gestopft   
(19.06.2003, https://glm.io/26011 )
Apple: Neues JavaScript-API basiert auf KDE   
(17.06.2002, https://glm.io/20363 )

Links zum Artikel:
KDE - K Desktop Environment (.org): http://www.kde.org

© 1997–2019 Golem.de, https://www.golem.de/