Összefoglaló
A KDE szoftver néhány olyan sérülékenysége vált ismerté, amelyet kihasználva támadók feltörhetik a felhasználó rendszerét.
Leírás
A KDE szoftver néhány olyan sérülékenysége vált ismerté, amelyet kihasználva támadók feltörhetik a felhasználó rendszerét.
- A sérülékenységet egy határérték hiba okozza az SVGList objektumok feldolgozásakor. Ez kihasználható memória kezelési hiba kiváltására, amikor a felhasználó egy káros weboldalt látogat meg.
- A sérülékenységet egy felszabadítás utáni használatból eredő (use-after-free) hiba okozza, bizonyos SVG kép fájlokkal feldolgozásakor. Ez kihasználható tetszőleges kód futtatására, egy speciálisan erre a célra elkészített SVG kép segítségével.
- A sérülékenységet egy hiba okozza, olyan JavaScript kód futtatásakor, amely egy bizonyos beállítást rendel a “head” HTML címkéhez. Ez kihasználható a HTML címke gyermek elemeinek felszabadítására, majd a felszabadított memória területre történő hivatkozásra, egy HTML hiba esetén.
- Egy hiba bizonyos CSS attribútumok feldolgozása közben kihasználható memória hivatkozási hiba okozására, amikor a felhasználó egy káros weboldalt látogat meg.
- Egy változó túlcsordulás hiba van a JavaScript garbage collectorban, amely kihasználható tetszőleges kód futtatására, ha a felhasználó egy káros weboldalt látogat meg.
Megoldás
Csak megbízható weboldalakat böngésszen!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: labs.idefense.com
Egyéb referencia: www.zerodayinitiative.com
Egyéb referencia: www.zerodayinitiative.com
Egyéb referencia: www.zerodayinitiative.com
SECUNIA 35581
CVE-2009-0945 - NVD CVE-2009-0945
CVE-2009-1687 - NVD CVE-2009-1687
CVE-2009-1690 - NVD CVE-2009-1690
CVE-2009-1698 - NVD CVE-2009-1698
CVE-2009-1709 - NVD CVE-2009-1709