Összefoglaló
A KDE szoftver néhány olyan sérülékenysége vált ismerté, amelyet kihasználva támadók feltörhetik a felhasználó rendszerét.
Leírás
A KDE szoftver néhány olyan sérülékenysége vált ismerté, amelyet kihasználva támadók feltörhetik a felhasználó rendszerét.
- A sérülékenységet egy határérték hiba okozza az SVGList objektumok feldolgozásakor. Ez kihasználható memória kezelési hiba kiváltására, amikor a felhasználó egy káros weboldalt látogat meg.
- A sérülékenységet egy felszabadítás utáni használatból eredő (use-after-free) hiba okozza, bizonyos SVG kép fájlokkal feldolgozásakor. Ez kihasználható tetszőleges kód futtatására, egy speciálisan erre a célra elkészített SVG kép segítségével.
- A sérülékenységet egy hiba okozza, olyan JavaScript kód futtatásakor, amely egy bizonyos beállítást rendel a “head” HTML címkéhez. Ez kihasználható a HTML címke gyermek elemeinek felszabadítására, majd a felszabadított memória területre történő hivatkozásra, egy HTML hiba esetén.
- Egy hiba bizonyos CSS attribútumok feldolgozása közben kihasználható memória hivatkozási hiba okozására, amikor a felhasználó egy káros weboldalt látogat meg.
- Egy változó túlcsordulás hiba van a JavaScript garbage collectorban, amely kihasználható tetszőleges kód futtatására, ha a felhasználó egy káros weboldalt látogat meg.
Megoldás
Csak megbízható weboldalakat böngésszen!
Támadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: labs.idefense.com
Egyéb referencia: www.zerodayinitiative.com
Egyéb referencia: www.zerodayinitiative.com
Egyéb referencia: www.zerodayinitiative.com
SECUNIA 35581
CVE-2009-0945 - NVD CVE-2009-0945
CVE-2009-1687 - NVD CVE-2009-1687
CVE-2009-1690 - NVD CVE-2009-1690
CVE-2009-1698 - NVD CVE-2009-1698
CVE-2009-1709 - NVD CVE-2009-1709