News

Other articles

Monday 8 March 2010

Audio Podcast Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010

Article Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010

Article Cloud security threats identified by CSA

Tuesday 2 March 2010

In Brief Vote for your CSO Interchange topics

Thursday 25 February 2010

Article Cloud Computing : a simple question of supplier risk

Monday 22 February 2010

Article Most dangerous coding errors outed

Monday 22 February 2010

In Brief Microsoft IE users to get browser choice update

Friday 19 February 2010

Article Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010

In Brief Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010

Audio Podcast The Challenges of Cross Border eID

Monday 15 February 2010

Audio Podcast The Readiness of eID in Europe Part 2

Sunday 14 February 2010

Audio Podcast The Readiness of eID in Europe Part 1

Thursday 11 February 2010

Article Concern at DDoS sophistication rise

Monday 8 February 2010

Article Voice encryption standard takes a beating

Friday 5 February 2010

Article Military importance of cyber recognised

Linux vulnérable par son navigateur

Written by Jerome Saiz (SecurityVibes)
Published on Saturday 21 January 2006
0 comment(s) | Subnetwork France

| | Other Tools

Ca n'arrive pas qu'à Windows. L'environnement KDE sous Linux, et son navigateur Konqueror, digérerait mal les chaînes de caractères au format universel UTF-8. Un simple code Javascript piégé permettrait ainsi d'exécuter du code sur le système. Les rustines sont disponibles.

L'environnement KDE pour Linux est vulnérable à un dépassement de mémoire tampon. La faille se situe dans l'interprétation du Javascript : une chaîne encodée au format UTF-8 utilisée dans un script Javascript permettrait de faire "planter" le navigateur ou d'exécuter du code sur le système.Le code en question, bien sûr, ne pourra s'exécuter qu'avec les droits de l'utilisateur tombé dans le piège, ce qui sous Linux en limite considérablement le risque (contrairement à Windows, Linux permet une séparation crédible des privilèges). Cependant, que les surfeurs Linuxiens ne se sentent pas pour autant invulnérables : les méthodes d'augmentation des privilèges ne manquent pas une fois un compte local obtenu !Grâce cependant à l'hétérogénéité des systèmes Linux, cette vulnérabilité sera toutefois moins exploitable à grande échelle que celle, par exemple, qui a récemment frappé Windows et ses images WMF. Les amateurs de Linux ont en effet le choix entre plusieurs environnement fenêtrés, et KDE n'est que l'un d'eux. Tous les Linux ne sont donc pas vulnérables. En outre, tous les Linux n'embarquent pas un environnement fenêtré : ceux destinés à fonctionner comme serveurs en sont généralement dépourvus (ou, si c'est le cas, c'est une négligence dangereuse !). La vulnérabilité concerne KDE 3.2.0 à 3.5.0. Des correctifs sont disponibles sur le site du projet (ftp.kde.org) et, bien sûr, des binaires corrigés seront probablement proposés par les éditeurs des différentes distributions de Linux.

L'alerte chez FrSIRT (en français).

Our members have posted 0 comments about this article. Only members can view and submit new comments.

Damn Vulnerable Linux (DVL) : parce que rien ne vaut un peu de pratique

Nouvelle version du patch Openwall pour noyau linux

Une nouvelle distribution de Linux compromise

Une faille de plus pour wu-ftpd

Une nouvelle vulnérabilité critique affecte RealPlayer

Asus Eee PC : une vulnérabilité en plus pour le même prix

Recherche une solution de sauvegarde des données utilisateurs (8 Answers)

Avez-vous déployé un lecteur PDF alternatif ? (2 Answers)

[Messagerie] Liste de diffusion : politique d'utilisation (1 Answers)

Que pensez de de la dépérimétrisation ? "bring the firewall down" une approche du groupe Jericho (11 Answers)

Que pensez-vous de l'insertion d'une mention légale ajoutée à chaque e-mail ? (6 Answers)

Browse Questions

Companies