Se han descubierto varias vulnerabilidades en KDE (versiones de la 3.3
a la 3.3.2) que podrían ser explotadas por usuarios maliciosos para
realizar escaladas de privilegios y comprometer un sistema afectado.

KDE (K Desktop Environment) proporciona un entorno de escritorio gráfico
en los sistemas operativos Unix. Se trata de un proyecto de código
abierto, muy maduro y de gran calidad.

Las vulnerabilidades detectadas se deben a errores en el tratamiento
de tamaños de variables que pueden ser explotados para provocar
desbordamientos de búfer. Concretamente las vulnerabilidades residen en
el componente ‘fliccd’ de INDI (Instrument Neutral Distributed Interface),
KDE-Edu y KStars.

La explotación con éxito permitiría a usuarios locales maliciosos
ejecutar código arbitrario con los derechos de root. Incluso si el
demonio se encuentra en ejecución, un atacante remoto también podría
obtener privilegios de root.

Se recomienda aplicar el parche para la versión 3.3.2, disponible en
la siguiente dirección:
ftp://ftp.kde.org/pub/kde/security_patches/post-3.3.2-kdeedu-kstars.diff

Antonio Ropero
antonior@hispasec.com

Más información:

KDE Security Advisory: Buffer overflow in fliccd of kdeedu/kstars/indi
http://www.kde.org/info/security/advisory-20050215-1.txt

CAN-2005-0011 (under review)
Multiple vulnerabilities in fliccd
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0011

Compártelo: