VulDB: KDE Konqueror bis 3.3.2 Java Sandbox erweiterte Schreibrechte
Allgemein
scipID: 1074
Betroffen: KDE Konqueror bis 3.3.2
Veröffentlicht: 20.12.2004 (Heise Security)
Risiko: 
kritisch
Beschreibung
Konqueror ist ein immer populärer werdender grafischer Webbrowser für den allseits beliebten KDE Window Manager. KDE ist die standardmässig installierte grafische Oberfläche bei so mancher Linux-Distribution (z.B. SuSE). Heise Security meldete eine Design-Schwachstelle im Sandbox-Modell von Java unter KDE Konqueror bis 3.3.2. So sei es unter anderem Möglich, erweiterte Schreibrechte zu erlangen. Das KDE Team hat sehr schnell mit einem Fix und einer aktualisierten Konqueror Version reagiert.
Zwar hat das KDE Team sehr schnell reagiert und das Problem schon drei Tage nach Meldung durch Heise Security im KDE CVS behoben. Das öffentliche Advisory wurde jedoch erst rund zwei Wochen später gemacht. Dies hätte man durchaus effizienter und für die Enbenutzer eleganter lösen können.
Exploiting
Klasse: Fehlerhafte Schreibrechte
Lokal: Ja
Remote: Ja
Exploit: http://www.heise.de/security/dienste/browsercheck/tests/java.shtml
Milw0rm: –
Nessus: 16407
ATK: –
Gegenmassnahmen
Status: Es ist eine aktualisierte Software-Version verfügbar.
Bestätigung: http://www.kde.org/info/security/advisory-20041220-1.txt
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://kde.org/download/
Snort: –
Pattern: –
Quellen
Advisory: http://www.kde.org/info/security/advisory-20041220-1.txt
CVE: CVE-2004-1145
OSVDB: –
Securityfocus: –
Secunia: 13586
X-Force: 18596
Securitytracker: –
VUPEN: –
Securiteam: –
Tecchannel: –
Heise: –
smSS: –
Andere: ftp://ftp.kde.org/pub/kde/security_patches/post-3.2.3-kdelibs-khtml-java.tar.bz2
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)
