Sicurezza, KDE sistema il fax

L'ultima versione di KDE chiude un baco utilizzabile da un cracker per compromettere un sistema via... fax. Corretta anche una debolezza che potrebbe rivelare alcune informazioni di autenticazione
L'ultima versione di KDE chiude un baco utilizzabile da un cracker per compromettere un sistema via... fax. Corretta anche una debolezza che potrebbe rivelare alcune informazioni di autenticazione


Roma – Il team di sviluppo del celebre desktop environment per Linux KDE ha recentemente corretto due vulnerabilità di sicurezza, tra cui una piuttosto seria.

La falla più grave, descritta qui , riguarda la libreria libtiff utilizzata da kfax, il programma integrato in KDE per visualizzare le versioni digitalizzate dei fax. La vulnerabilità, valutata da Secunia “highly critical”, può essere sfruttata da un malintenzionato per compromettere un sistema da remoto. In particolare, l’aggressore potrebbe essere in grado di confezionare un file di fax che, una volta aperto dall’utente, esegue del codice malevolo.

Da notare come Kfax sia l’applicazione predefinita per l’apertura, sotto il client di posta elettronica KMail e il browser Konqueror, dei file con estensione “.g3”.

Il team di sviluppo di KDE ha poi stuccato un buco che potrebbe rivelare a terzi la password utilizzata da un utente per accedere ad una risorsa condivisa.

“Quando si crea un link ad un file remoto da una delle applicazioni di KDE, incluso Konqueror, l’URL risultante potrebbe contenere le informazioni di autenticazione (password in chiaro) utilizzate per accedere a questa risorsa remota. Queste includono le condivisioni SMB (Samba)”, si legge in questo advisory pubblicato sul sito Kde.org.

Entrambe le falle, inclusa la debolezza recentemente scoperta in Konqueror e altri browser, sono state corrette con il recente rilascio di KDE 3.3.2 .

Link copiato negli appunti

Ti potrebbe interessare

13 12 2004
Link copiato negli appunti