20.01.2006 11:02
Alert! Lücke im Unix/Linux-Desktop KDE gefährdet Konqueror-Anwender
Die Entwickler der grafischen Desktopoberfläche KDE weisen auf eine kritische Sicherheitslücke im eingebauten JavaScript-Interpreter kjs hin, der unter anderem vom Browser Konqueror und zahlreichen anderen Anwendungen verwendet wird. Bei der Dekodierung bestimmter UTF-8-kodierter URIs, etwa einem HTTP-Link, kann ein Heap Overflow auftreten, der im günstigsten Fall nur zum Absturz der Anwendung führt. Laut Advisory des KDE-Teams soll aber auch das Einschleusen und Ausführen von Code möglich sein. Dazu reicht bereits der Besuch einer manipulierten Webseite aus.
Betroffen ist KDE 3.2.0 bis einschließlich KDE 3.5.0. Die Entwickler haben bereits die Quellen für Patches veröffentlicht. Die Linux-Distributoren haben ebenfalls damit begonnen, aktualisierte Pakete der kdelibs herauszugeben.
Siehe dazu auch:
(dab)
- kjs encodeuri/decodeuri heap overflow vulnerability, Fehlerreport von KDE
- kdelibs security update, Fehlerreport von Red Hat
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
