Sicherheitslücke im PDF/PS-Handling von KDE

Die KDE-Entwickler haben ein Advisory veröffentlicht, das eine Sicherheitslücke im PDF- und Postscript-Handling des Unix/Linux-Desktops beschreibt. Für den Umgang mit PDF- beziehungsweise Postscript-Dateien setzt KDE auf Ghostscript-Software. Durch Ausnutzen eines Lecks können Angreifer Befehle, die in den PDF-Dateien enthalten sein können, mit den Rechten und unter dem Account des lokalen Anwenders ausführen lassen. Dazu muss ein Angreifer dem Nutzer ein PDF- oder Postscript-File unterschieben, das die entsprechenden Befehle enthält. Öffnet der Anwender diese Datei (auch in der automatischen Datei-Vorschau), ist es nach Angaben der KDE-Entwickler für den Angreifer möglich, zum einen private Daten des Nutzers auszulesen und Shell-Kommandos mit den Rechten des lokalen Anwenders auszuführen.

Das KDE-Team hat Updates für die Desktop-Software herausgegeben, die das Problem korrigieren. Die Entwickler empfehlen dringend, auf die Versionen 3.1.1a beziehungsweise 3.0.5b zu aktualisieren. Für die Version 2.2.2 hat das KDE-Team Patches herausgegeben; auf dem ftp-Server finden sich auch Patch-Files für Version 3.05 und 3.1.1. Für Binär-Dateien der neuen KDE-Versionen verweisen die Entwickler auf die einzelnen Linux-Distributoren; für Debian, SuSE und TurboLinux liegen entsprechende Pakete bereits auf den Mirror-Servern des KDE-Projekts bereit. (jk)