Encontrados fallos de seguridad en KDE

**chuzo** · 12-ago-2004, 15:54

Varios equipos de seguridad han encontrado algunos fallos de seguridad en KDE que afectan hasta la versión 3.2.3, aunque estos fallos ya están solucionados en KDE 3.3RC2 y posteriores que salgan.

Se aconseja actualizar a los binarios que saquen las distintas distribuciones en breve.

A continuación una descripción breve de los fallos.

El primer fallo detectado por SuSE consiste en que KDE al crear enlaces no se asegura de su integridad, lo que puede hacer a un atacante local truncar o crear archivos e incluso hacer funcionar mal a las aplicaciones. Esto sólo puede ser explotado si lanzamos aplicaciones fuera del entorno de escritorio o como otro usuario (por ejemplo root)

El segundo fallo detectado por Debian consiste en que el servidor de mensajes DCOP guarda de manera insegura los mensajes, lo que puede hacer a un atacante local comprometer la cuenta de usuario del que lo ejecuta.

El tercer fallo del que ha informado Secunia y Heise Online permite que una página web diseñada a mala idea, abra en Konqueror un marco de otra página web abierta en ese momento, que puede ser una página segura y capturar los datos que a través de ella se envíen. Aunque la posibilidad de ataque es remota (se tienen que tener abiertas a la vez ambas páginas al mismo tiempo) no está de más estar prevenido ante tal ataque remoto.

Más información sobre estos fallos y la ubicación de los parches para las diferentes versiones de KDE (3.0.5b, 3.1.5 y 3.2.3) en esta página

Fuente: KDE-Hispano

Un saludo