Die Entwickler der Desktopoberfläche KDE weisen auf eine kritische Sicherheitslücke im eingebauten JavaScript-Interpreter kjs hin. Dieser Interpreter wird unter anderem vom Browser Konqueror verwendet.

Bei der Dekodierung bestimmter UTF-8-kodierter URIs kann ein Heap Overflow auftreten, der im besten Fall nur zum Absturz der Anwendung führt. Laut Advisory des KDE-Teams soll auch das Einschleusen und Ausführen von Code möglich sein. Dazu reicht bereits der Aufruf einer manipulierten Webseite aus.

Betroffen sind die Version KDE 3.2.0 bis einschließlich KDE 3.5.0. Die Entwickler haben schon die Quellen für Patches veröffentlicht. Die Linux-Distributoren haben begonnen, aktualisierte Pakete der kdelibs herauszugeben.

(rb, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE