Sicherheitslücke im Unix/Linux-Desktop KDE

Im erst vor zwei Wochen mit einer Sicherheitslücke in die Schlagzeilen geratene Unix/Linux-Desktop KDE ist wieder eine Angriffsmöglichkeit aufgetaucht. In einem Advisory beschreibt die Entwickler-Gruppe das Problem: Der Desktop schafft es manchmal nicht, Parameter für Befehle, die er an eine Shell zur Ausführung weiterleitet, korrekt zu übergeben. Ein Angreifer könnte nun durch Ausnutzung dieser Lücke und entsprechender Gestaltung eines Befehl diesen zur Ausführung auf einem lokalen System bringen, und zwar mit den Rechten des Anwenders, der auf dem betroffenen System angemeldet ist.

Anfällig sind alle KDE-2- und 3-Versionen, einschließlich der als Reaktion auf die letzte Sicherheitslücke veröffentlichte Version 3.05. Die KDE-Entwickler haben jedoch bereits eine fehlerbereinigte Version 3.0.5a zum Download bereitgestellt. Sie enthält neben dem Patch für die Sicherheitslücke auch weitere Bugfixes.

Die ursprünglich für Oktober geplante Veröffentlichung der KDE-Version 3.1 wurde bereits Anfang Dezember auf Anfang Januar verschoben, um den Code gründlich auf mögliche Sicherheitslecks überprüfen zu können. (adb)