Poważna luka w KDE

W popularnym linuksowym menedżerze okien znaleziono poważny błąd, mogący ułatwić intruzom niepostrzeżone uruchomienie złośliwego kodu w systemie ofiary, którą uda się skłonić do wejścia na odpowiednio spreparowaną stronę WWW.

Problem leży w interpreterze JavaScript będącym integralną częścią KDE. Jeśli aplikacja wykorzystująca biblioteki KDE uruchomi fragment kodu HTML zawierający odpowiednio skonstruowany adres URL zakodowany w UTF-8, może dojść do przepełnienia sterty programu i uruchomienia złośliwego kodu.

Błąd znajduje się w wersjach KDE od 3.2.0 do 3.5.0. Poprawki w postaci łatki na kod źródłowy są już dostępne na stronie KDE. Na poprawione pakiety z poszczególnych dystrybucji przyjdzie jeszcze pewnie trochę poczekać.

Więcej informacji:

http://www.kde.org/info/security/advisory-20060119-1.txt


Zobacz również