KDE-Team warnt vor drei Sicherheitslücken [Update]

Das KDE-Entwicklerteam hat drei Sicherheits-Advisories zu Problemen in den aktuellen Versionen des Unix/Linux-Desktops veröffentlicht und stellt dafür Patches bereit. Die ersten beiden beziehen sich auf Probleme im Umgang mit temporären Dateien, das dritte adressiert die Frame-Spoofing-Probleme, die heise Security Anfang Juli gemeldet hatte.

Die Sicherheitslücken betreffen alle aktuellen Version bis hin zu 3.2.3. Im kürzlich veröffentlichten Release Candidate 2 für Version 3.3 sind die Probleme bereits behoben, die Distributoren dürften demnächst auch aktualisierte Pakete für die 3.2er-Serie bereitstellen.

Das erste Advisory bezieht sich auf symbolische Links, die KDE im Benutzerverzeichnis ~/.kde anlegt. Diese kann ein anderer lokaler Benutzer ausnutzen, um mit den Rechten des KDE-Anwenders Dateien zu modifizieren.

Das zweite Advisory beschreibt ein Problem in der Art und Weise, wie KDEs DCOPServer bestimmte temporäre Dateien behandelt. Da diese auch für die Authentifizierung genutzt werden, könnte sich ein lokaler Angreifer Zugang zum Benutzer-Account eines KDE-Anwenders verschaffen.

Anfang Juli demonstrierte heise Security auf dem Browsercheck, dass viele Browser ein seit sechs Jahren bekanntes Problem immer noch nicht beseitigt haben: Webseiten, die Frames einsetzen, lassen sich einfach manipulieren, weil die Browser die Zugriffsrechte auf diese Frames nicht ausreichend kontrollieren. Dieses Problem hat das KDE-Team im Konqueror jetzt beseitigt.

Update:
Nachdem das Frame-Spoofing-Problem in Mozilla (ab 1.7), Firefox (ab 0.9) und Opera (ab 7.52) bereits behoben ist, steht jetzt nur noch der Internet Explorer aus, bei dem auch noch mit Service Pack 2 für Windows XP diese Frame-Manipulationen möglich sind.

Siehe dazu auch: (ju)

• Phishing mit Frames auf dem Browsercheck
• Ankündigung des KDE-Teams