Ernste Sicherheitslücken in Unix/Linux-Desktop KDE

Red Hat und Debian haben Advisories zu mehreren Sicherheitsproblemen im Unix/Linux-Desktop KDE herausgegeben (Red-Hat-Advisory, Debian-Advisory).

Die wichtigste in den Advisories aufgeführte Lücke betrifft das Subsystem KIO und damit indirekt auch den Browser Konqueror. Mit KIO kann man "Helfer" angeben, die für spezielle URLs der Form "xyz:/" zuständig sind. Die Implementierungen des telnet- und rlogin-Protokolls enthalten Fehler, die sich durch spezielle URLs ausnutzen lassen. Diese können beliebige Aktionen mit den Rechten des aktiven Benutzers anstoßen -- also beispielsweise dessen Daten löschen. Solche URLs können sich sowohl in einer externen Web-Seite als auch in einer HTML-E-Mail verbergen.

Betroffen sind alle KDE-Versionen von 2.1 bis 3.04 und 3.1rc3. Als Workaround kann man die Dateien "rlogin.protocol" und "telnet.protocl" im KDE-Verzeichnis löschen und damit diese KIO-Dienste deaktivieren. Das KDE-Team hat übrigens diesen Fehler weitgehend unbemerkt schon am 11.11. veröffentlicht und in der Version 3.05 beseitigt.

Auffällig an dieser ernsten Sicherheitslücke ist vor allem, dass sie ausgerechnet einen Teil von KDE betrifft, in dem das Open-Source-Projekt Microsoft nacheifert: Auch bei KDE ist der Browser sehr stark in das System integriert und agiert beispielsweise auch als lokaler File-Manager. Über die Komponenten-Architektur von KDE können alle Applikationen den HTML-Renderer zur Darstellung nutzen, wie auch Konqueror seinerseits Komponenten für verschiedene Aufgaben einsetzt. (ju)