Ça n'arrive pas qu'à Windows. L'environnement KDE sous Linux, et son navigateur Konqueror, digérerait mal les chaînes de caractères au format universel UTF-8. Un simple code Javascript piégé permettrait ainsi d'exécuter du code sur le système. Les rustines sont disponibles.

au sommaire

    Logo KDE

    Logo KDE

    L'environnement KDE pour LinuxLinux est vulnérable à un dépassement de mémoire tampon. La faille se situe dans l'interprétation du Javascript : une chaîne encodée au format UTF-8 utilisée dans un script Javascript permettrait de faire "planter" le navigateur ou d'exécuter du code sur le système.

    Le code en question, bien sûr, ne pourra s'exécuter qu'avec les droits de l'utilisateur tombé dans le piège, ce qui sous Linux en limite considérablement le risque (contrairement à Windows, Linux permet une séparationséparation crédible des privilèges). Cependant, que les surfeurs Linuxiens ne se sentent pas pour autant invulnérables : les méthodes d'augmentation des privilèges ne manquent pas une fois un compte local obtenu !

    Grâce cependant à l'hétérogénéité des systèmes Linux, cette vulnérabilité sera toutefois moins exploitable à grande échelle que celle, par exemple, qui a récemment frappé Windows et ses images WMF. Les amateurs de Linux ont en effet le choix entre plusieurs environnement fenêtrés, et KDE n'est que l'un d'eux. Tous les Linux ne sont donc pas vulnérables. En outre, tous les Linux n'embarquent pas un environnement fenêtré : ceux destinés à fonctionner comme serveurs en sont généralement dépourvus (ou, si c'est le cas, c'est une négligence dangereuse !).

    La vulnérabilité concerne KDE 3.2.0 à 3.5.0. Des correctifs sont disponibles sur le site du projet (ftp.kde.org) et, bien sûr, des binairesbinaires corrigés seront probablement proposés par les éditeurs des différentes distributions de Linuxdistributions de Linux.