Lücke im Linux-Browser Konqueror

Manfred Kohlen,
BrowserSicherheitWorkspace

Eigentlich keine PC-Sicherheitsfrage, sondern eher eine Sache des Datenschutzes: Nutzer des Linux-Browsers aus dem KDE-Paket können ausgespäht werden, wie der britische Internet-Provider Westpoint herausgefunden hat.

Das Leck im Browser Konqueror erlaubt es, dass Cookies von bestimmten Länder-Domains so gesetzt werden können, dass sie an alle Seiten dieser Länder-Domain gesendet werden. Betroffen sind Domains wie ltd.uk, .plc.uk und .firm.in, die neben der Top-Level-Domain eine weitere Second-Level-Domain verwenden, die nicht .com, .net, .mil, .org, .gov, .edu oder .int ist. Domains wie .co.uk oder .com sind nicht betroffen.

Der Bug erlaubt es Angreifern, mit Websites unter diesen übergeordneten Domains Session-Daten aus Cookies auszulesen und aktive Sessions des Nutzers zu übernehmen.

Quellcode-Patches für KDE 3.05b, 3.1.5 und KDE 3.2.3stehen bereits zum Download zur Verfügung. Der Browser in der neuen
KDE-Version 3.3 hat den Fehler nicht mehr. (mk)

Weitere Infos:

KDE-Quellcode-Patches
KDE.org

Lesen Sie auch :

Chrome, Edge und Safari: Chinesischer Hackerwettbewerb deckt Zero-Day-Lücken auf

Mozilla Firefox: Anwender sollen detaillierter über Tracking informiert werden

Google Chrome: neues Feature blockiert künftig ressourcenfressende Anzeigen
Manfred Kohlen
Autor: Manfred Kohlen
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen