Das KDE-Team warnt alle Benutzer von KDE, die noch kein Update auf die aktuelle 3.4er-Version eingespielt haben, vor Schwachstellen. So kann ein eingeloggter Nutzer eines Multiusersystems den DCOP-Daemon (Desktop Communication Protocol) für andere Anwender auf diesem Rechner sperren. Ein angegriffener Benutzer kann dann beispielsweise nicht mehr im Internet surfen oder wird sogar daran gehindert, weitere Programme zu starten. DCOP ist die Implementierung von KDE zur Kommunikation zwischen Anwendungen und ist vergleichbar mit DCOM unter Windows.
Problematisch ist auch das dcopidlng-Script, mit dem ein Angreifer über einen Symlink-Angriff Dateien überschreiben kann. Dies betrifft allerdings nur Nutzer, die ihre KDE-Programme selbst kompilieren.
Über IDN-Probleme (International Domain Names) hat heise Security bereits berichtet. Auch der Konqueror war für diese Phishing-Techniken anfällig. Das KDE-Team hat das Problem nach eigenen Angaben durch eine Whitelist gelöst, die IDN nur noch für Domains zulässt, deren Registrare Anti-Homograph-Richtlinien erlassen haben oder den Zeichensatz beschränkt haben. So ist beispielsweise der Vorrat möglicher Zeichen beim DENIC auf 92 begrenzt. Näheres dazu in dem Advisory von KDE.
Nutzer sollten auf die gestern erschienene KDE-Version 3.4 updaten, die diese Lücken schließt oder für die älteren Versionen die bereitgestellten Patches aus den Advisories einspielen.
Quelle und Links :
http://www.heise.de/newsticker/meldung/57612
