Die Entwickler der grafischen Desktopoberfläche KDE weisen auf eine kritische Sicherheitslücke im eingebauten JavaScript-Interpreter kjs hin, der unter anderem vom Browser Konqueror und zahlreichen anderen Anwendungen verwendet wird. Bei der Dekodierung bestimmter UTF-8-kodierter URIs, etwa einem HTTP-Link, kann ein Heap Overflow auftreten, der im günstigsten Fall nur zum Absturz der Anwendung führt. Laut Advisory des KDE-Teams soll aber auch das Einschleusen und Ausführen von Code möglich sein. Dazu reicht bereits der Besuch einer manipulierten Webseite aus.
Betroffen ist KDE 3.2.0 bis einschließlich KDE 3.5.0. Die Entwickler haben bereits die Quellen für Patches veröffentlicht. Die Linux-Distributoren haben ebenfalls damit begonnen, aktualisierte Pakete der kdelibs herauszugeben.
(dab/c't)
Quelle:heise.security.de
Link:http://www.heise.de/security/news/meldung/68579
Gr33ts
@JAcki:agl: