|
KDE Konqueror 远程跨站脚本执行缺陷
KDE Konqueror 远程跨站脚本执行缺陷 (Linux,补丁)
涉及程序:
KDE Konqueror
描述:
KDE Konqueror 远程跨站脚本执行缺陷
详细:
Konqueror是一款KDE下缺省安装的WEB浏览器。
由于设计上的原因,Konqueror 不能正确处理在子帧(sub-(i)frames)中初始化的域,远程攻击者可以利用此缺陷进行跨站脚本执行攻击。
Konqueror 由于对在子帧(sub-(i)frames)中初始化的域缺少正确的跨站脚本保护,可导致定义在HTML中的脚本代码可以访问任意外部子帧。Konqueror用户和其他KDE软件如果使用KHTML显示输出引擎,易到跨站脚本执行攻击,导致基于用户认证的Cookie信息泄露。
受影响系统:
KDE 2.2.2
KDE 3.0 - 3.0.3
攻击方法:
暂无有效攻击代码
解决方案:
* 下载补丁:
KDE 3.0.3
ftp://ftp.kde.org/pub/kde/security_patches :
523b2fb677310792cbb04861f358d08d post-3.0.3-kdelibs-khtml.diff
KDE 2.2.2
ftp://ftp.kde.org/pub/kde/security_patches :
b0b23c3caa062c60375a1160418a2810 post-2.2.2-kdelibs-khtml.diff
* kdelibs-3.0.3a 不受此缺陷影响,建议用户立即升级到版本 3.0.3a :
http://download.kde.org/stable/3.0.3
02627f595af113f7d544561a7ff6ec85 kdelibs-3.0.3a.tar.bz2
* 临时解决方案:
暂时关闭 Konqueror 的 Javascript 功能或者不使用 cookie |