Diese Meldung aus dem heise online-Newsticker wurde Ihnen von "Thomas Borger <>" gesandt. Wir weisen darauf hin, dass die Absenderangabe nicht verifiziert ist. Sollten Sie Zweifel an der Authentizit�t des Absenders haben, ignorieren Sie diese E-Mail bitte. -------------------------------------------------------------------- FYI -------------------------------------------------------------------- Ernste Sicherheitsl�cken in Unix/Linux-Desktop KDE
Red Hat[1] und Debian[2] haben Advisories zu mehreren Sicherheitsproblemen im Unix/Linux-Desktop KDE herausgegeben (Red-Hat-Advisory[3], Debian-Advisory[4]). Die wichtigste in den Advisories aufgef�hrte L�cke betrifft das Subsystem KIO[5] und damit indirekt auch den Browser Konqueror. Mit KIO kann man "Helfer" angeben, die f�r spezielle URLs der Form "xyz:/" zust�ndig sind. Die Implementierungen des telnet- und rlogin-Protokolls enthalten Fehler, die sich durch spezielle URLs ausnutzen lassen. Diese k�nnen beliebige Aktionen mit den Rechten des aktiven Benutzers ansto�en -- also beispielsweise dessen Daten l�schen. Solche URLs k�nnen sich sowohl in einer externen Web-Seite als auch in einer HTML-E-Mail verbergen. Betroffen sind alle KDE-Versionen von 2.1 bis 3.04 und 3.1rc3. Als Workaround kann man die Dateien "rlogin.protocol" und "telnet.protocl" im KDE-Verzeichnis l�schen und damit diese KIO-Dienste deaktivieren. Das KDE-Team hat �brigens diesen Fehler weitgehend unbemerkt schon am 11.11. ver�ffentlicht[6] und in der Version 3.05 beseitigt. Auff�llig an dieser ernsten Sicherheitsl�cke ist vor allem, dass sie ausgerechnet einen Teil von KDE betrifft, in dem das Open-Source-Projekt Microsoft nacheifert: Auch bei KDE ist der Browser sehr stark in das System integriert und agiert beispielsweise auch als lokaler File-Manager. �ber die Komponenten-Architektur von KDE k�nnen alle Applikationen den HTML-Renderer zur Darstellung nutzen, wie auch Konqueror seinerseits Komponenten f�r verschiedene Aufgaben einsetzt. (ju[7]/c't) URL dieses Artikels: http://www.heise.de/newsticker/data/ju-06.12.02-000/ Links in diesem Artikel: [1] http://www.redhat.com [2] http://www.debian.org [3] https://rhn.redhat.com/errata/RHSA-2002-220.html [4] http://www.debian.org/security/2002/dsa-204 [5] http://www.heise.de/ct/01/05/242/ [6] http://www.kde.org/info/security/advisory-20021111-1.txt [7] mailto:[EMAIL PROTECTED] -------------------------------------------------------------------- Copyright 2002 by Verlag Heinz Heise ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
