Die Entwickler der grafischen Desktopoberfläche KDE weisen auf eine kritische Sicherheitslücke im eingebauten JavaScript-Interpreter kjs hin, der unter anderem vom Browser Konqueror und zahlreichen anderen Anwendungen verwendet wird. Bei der Dekodierung bestimmter UTF-8-kodierter URIs, etwa einem HTTP-Link, kann ein Heap Overflow auftreten, der im günstigsten Fall nur zum Absturz der Anwendung führt. Laut Advisory des KDE-Teams soll aber auch das Einschleusen und Ausführen von Code möglich sein. Dazu reicht bereits der Besuch einer manipulierten Webseite aus.
Betroffen ist KDE 3.2.0 bis einschließlich KDE 3.5.0. Die Entwickler haben bereits die Quellen für Patches veröffentlicht. Die Linux-Distributoren haben ebenfalls damit begonnen, aktualisierte Pakete der kdelibs herauszugeben.
Siehe dazu auch:
* kjs encodeuri/decodeuri heap overflow vulnerability, Fehlerreport von KDE
* kdelibs security update, Fehlerreport von Red Hat
Quelle und Links :
http://www.heise.de/security/news/meldung/68579
