asg
push it, don´t hype
Wie eben bekannt wurde, gibt dem KDE Browser Konquerer eine Sicherheitslücke.
Das Advisory liegt unter: http://www.kde.org/info/security/advisory-20030729-1.txt
Das Leck im Browser führt dazu, dass die Authentifizierungsdaten auch an nicht vorgesehen Webseiten übermittelt werden.
So kann bei Webseiten zur Anmeldung am Webserver der Benutzername und das Passwort in der ULR mitgegeben werden.
Wechselt der Benutzer nun auf einen anderen besuchten webserver, wo wird die URL des eben besuchten, und authentofizierten webservers, als HTTP Referer übertragen. Ouch.
Betroffene Versionen: Konqueror bis einschließlich KDE 3.1.2.
Patches: FTP-Server von KDE zur Verfügung
Das Advisory liegt unter: http://www.kde.org/info/security/advisory-20030729-1.txt
Das Leck im Browser führt dazu, dass die Authentifizierungsdaten auch an nicht vorgesehen Webseiten übermittelt werden.
So kann bei Webseiten zur Anmeldung am Webserver der Benutzername und das Passwort in der ULR mitgegeben werden.
Wechselt der Benutzer nun auf einen anderen besuchten webserver, wo wird die URL des eben besuchten, und authentofizierten webservers, als HTTP Referer übertragen. Ouch.
Betroffene Versionen: Konqueror bis einschließlich KDE 3.1.2.
Patches: FTP-Server von KDE zur Verfügung