kde.orgは米国時間1月19日,オープンソースのデスクトップ環境「K Desktop Environment (KDE)」にセキュリティ・ホールが見つかったことを明らかにした。セキュリティ・ホールが存在する環境で,細工が施されたWebページなどにアクセスすると悪質なプログラムを実行させられる恐れがある。対策はパッチを適用すること。
今回,JavaScriptを解釈するKDEのモジュール(kjs)にバッファ・オーバーフローのセキュリティ・ホールが見つかった。このため,kjsを利用するアプリケーション(例えばKonqueror)を経由して,Webページなどに埋め込まれた悪意のあるJavaScriptコードを読み込むと被害を受ける。具体的には,アプリケーションが不正終了したり,コードに仕込まれた任意のプログラムを実行されたりする可能性がある。
セキュリティ・ホールが確認されているバージョンは,3.2.0から3.5.0まで。対策はパッチを適用すること。kde.orgのFTPサイトではソース・コードのパッチを公開している。バイナリのパッチ(パッケージ)はOSベンダーなどがそれぞれ公開しているので確認してほしい。
◎参考資料
◆KDE Security Advisory: kjs encodeuri/decodeuri heap overflow vulnerability
◆FTP Directory: ftp://ftp.kde.org/pub/kde/security_patches/
◆KDE kjs UTF-8 Encoded URI Buffer Overflow Vulnerability
◆
KDE "kjs" UTF-8 Encoded URI Handling Remote Buffer Overflow Vulnerability
