|
Múltiples vulnerabilidades en KDE y Konqueror
|
|
VSantivirus No. 1499 Año 8, viernes 13 de agosto de 2004
Múltiples vulnerabilidades en KDE y Konqueror
http://www.vsantivirus.com/vul-kde-konqueror.htm
Por Angela Ruiz
angela@videosoft.net.uy
Se han publicado tres avisos de precaución para KDE, un popular entorno de escritorio para Linux.
El primero, está relacionado con el manejo peligroso del directorio temporal en ciertas circunstancias. El segundo tiene que ver con la creación de archivos temporales no seguros por KDE DCOPServer 3.2.x (DCOP es un protocolo de comunicaciones de KDE), y el tercero se refiere a una vulnerabilidad de inyección de marcos en el navegador Konqueror, ya reportado anteriormente.
Se espera que las diferentes distribuciones actualicen sus paquetes a la brevedad. Las vulnerabilidades fueron corregidas en KDE 3.3 Release Candidate 2, anunciado el martes 10 de agosto. La versión final de KDE 3.3 es esperada para este mismo mes.
Este es la descripción de estas vulnerabilidades con los enlaces respectivos:
Vulnerabilidad en directorio temporal de KDE
Esta vulnerabilidad en el directorio temporal de KDE, afecta a todas las versiones de este producto, hasta la 3.2.3 inclusive. El fallo podría provocar que un atacante local creara o truncara arbitrariamente determinados archivos, ocasionando el mal funcionamiento de las aplicaciones KDE (provocando una denegación de servicio). También podría sobrescribir archivos con los mismos privilegios del usuario actual.
Fecha de publicación: 11/ago/04
Más información:
KDE Security Advisory: Temporary Directory Vulnerability
http://www.kde.org/info/security/advisory-20040811-1.txt
Vulnerabilidad "Temporary Filename" en DCOPServer de KDE
DCOP es un protocolo de comunicaciones para KDE. DCOPServer puede crear archivo temporales de un modo inseguro. Como estos archivos temporales se utilizan con el propósito de autenticación, los mismos podrían ser utilizados maliciosamente por un atacante local, comprometiendo éste la cuenta de cualquier usuario que ejecute una aplicación KDE. La vulnerabilidad afecta las versiones KDE 3.2.x hasta la KDE 3.2.3 inclusive.
Fecha de publicación: 11/ago/04
Más información:
KDE Security Advisory:
DCOPServer Temporary Filename Vulnerability
http://www.kde.org/info/security/advisory-20040811-2.txt
Vulnerabilidad "Frame Injection" en Konqueror
El navegador Konqueror, permite que un sitio web cargue una página dentro de un marco (frame) de cualquier otra página web basada en marcos, que el usuario tenga abierta. Un sitio malicioso podría abusar del Konqueror para insertar sus propios marcos dentro de páginas de sitios de confianza. Cómo resultado, el usuario podría enviar a un pirata informático, información confidencial (contraseñas, tarjetas de crédito, transacciones bancarias, etc.), pensando que está en la página de un sitio confiable. Esto afecta a todas las versiones de KDE hasta la 3.2.3 inclusive.
Fecha de publicación: 11/ago/04
Más información:
KDE Security Advisory:
Konqueror Frame Injection Vulnerability
http://www.kde.org/info/security/advisory-20040811-3.txt
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|