Lücke im Linux-Browser Konqueror

BrowserSicherheitWorkspace

Fremde Seiten können unter bestimmten Länder-Domains Cookie-Daten von privaten Rechnern ausspähen

Eigentlich keine PC-Sicherheitsfrage, sondern eher eine Sache des Datenschutzes: Nutzer des Linux-Browsers aus dem KDE-Paket können ausgespäht werden, wie der britische Internet-Provider Westpoint herausgefunden hat.

Das Leck im Browser Konqueror erlaubt es, dass Cookies von bestimmten Länder-Domains so gesetzt werden können, dass sie an alle Seiten dieser Länder-Domain gesendet werden. Betroffen sind Domains wie ltd.uk, .plc.uk und .firm.in, die neben der Top-Level-Domain eine weitere Second-Level-Domain verwenden, die nicht .com, .net, .mil, .org, .gov, .edu oder .int ist. Domains wie .co.uk oder .com sind nicht betroffen.

Der Bug erlaubt es Angreifern, mit Websites unter diesen übergeordneten Domains Session-Daten aus Cookies auszulesen und aktive Sessions des Nutzers zu übernehmen.

Quellcode-Patches für KDE 3.05b, 3.1.5 und KDE 3.2.3stehen bereits zum Download zur Verfügung. Der Browser in der neuen
KDE-Version 3.3
hat den Fehler nicht mehr. (mk)

Weitere Infos:

KDE-Quellcode-Patches

KDE.org

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen