Eine neue KDE-Version soll eine Schwachstelle im Dialog-Editor Kommander und dem Web-Editor Quanta schließen, mit der Angreifer möglicherweise Code auf dem System ausführen können. Nach Angaben der Entwickler startet der Editor unter Umständen Kommander-Files automatisch ohne Rückfrage beim Benutzer und führt darin enthaltene Skripte aus. Eine Datei kann beispielsweise über Mail oder einen Download auf das System gelangen.
Betroffen sind Quanta 3.1.x sowie KDE ab 3.2 bis einschließlich KDE 3.4.0. Patches für 3.4.0 und 3.3.2 beheben das Problem im Kommander. Wer nicht die Muße hat, das Paket selbst neu zu kompilieren, muss auf die Binärpakete seines Distributors warten.
Quelle und Links :
http://www.heise.de/newsticker/meldung/58864
