Web

Gravierende Sicherheitslücke in KDE 3.1.x

15.01.2004

Die KDE-Versionen der 3.1er-Serie weisen eine Sicherheitslücke im Personal Information Manager kdepim auf, über den ein externer Angreifer das System kompromittieren kann.

Ursache ist ein Pufferüberlauf, der in KDE-Versionen vor 3.1.5 beim Einlesen von Informationen aus VCF-Dateien auftritt. Dabei handelt es sich um virtuelle Visitenkarten, die der Angreifer beispielsweise per E-Mail schicken kann. Ein erfolgreicher Angriff ermöglicht das Ausführen beliebigen Codes auf dem System.

Zwar ist das Einlesen der VCF-Dateien in der Voreinstellung deaktiviert, kann aber durch die Nutzung der Preview-Funktion automatisch aktiviert werden. Daher empfiehlt das KDE-Team eine umgehende Aktualisierung auf KDE 3.1.5, das nicht betroffen ist. Als Alternative steht ein entsprechender Patch für KDE 3.1.4 zur Auswahl. (jlu)