KDE-Browser Konqueror verrät Benutzerdaten
Durch ein Sicherheitsloch sendet der Konqueror der Unix/Linux-Desktop-Umgebung Anmeldeinformationen an Server, für die sie nicht gedacht waren.
Das KDE-Team hat ein Advisory über ein Sicherheitsleck im Browser Konqueror der Unix/Linux-Desktop-Umgebung veröffentlicht. Das Leck führt dazu, dass Authentifizierungsdaten fälschlicherweise an andere als die vorgesehenen Webseiten gesendet werden. Zur Anmeldung an Webserver können Benutzername und Passwort in einer URL mitgesendet werden: user:password@host. Nahezu alle Browser unterstützen diese Möglichkeit -- auch wenn dies laut den RFCs 2396 beziehungsweise 2616 im Standard für http-URLs eigentlich nicht empfohlen ist. Sinnvoll kann dies dagegen für automatisierte Anmeldungen für ftp-Übetragungen per Webbrowser sein, um sich die manuelle Eingabe der Daten zu sparen.
Wechselt man mit einem Browser auf einen anderen als den bereits besuchten Webserver, so wird die URL der zuvor besuchten Webseite als HTTP-Referer übertragen. Normalerweise darf dort nur der Teil hinter dem @-Zeichen enthalten sein. Konqueror sendet aber die komplette URL, inklusive Name und Passwort, im Klartext mit. Ein Angreifer in lokalen Netzwerken kann diesen Referer mitlesen und erhält damit Informationen über Anmeldedaten. Darüber hinaus kann der Betreiber eines Webservers ebenfalls an die Informationen gelangen, indem er die empfangenen Referer analysiert.
Betroffen sind alle Versionen von Konqueror bis einschließlich KDE 3.1.2. Patches stehen auf dem FTP-Server von KDE zur Verfügung; seit dem gestrigen Dienstag ist auch KDE 3.1.3 fertig gestellt, das den Fehler ebenfalls nicht mehr enthält. Als Workaround empfiehlt das KDE-Team, keine Anmeldedaten in einer URL mitzusenden und stattdessen die eingebaute Dialog-Funktion zu verwenden. (dab)
