Sistemas Afectados

1. Descripción

   Maksim Orlovich reportó una vulnerabilidad en KDE jks, que puede explotarse por personas maliciosas para ocasionar una negación de servicio (DoS) o para comprometer el sistema de un usuario.

   La vulnerabilidad es ocasionada por un error en el control del límite de la memoria dentro de kjs al decodificar secuencias codificadas en UTF-8. Esto puede explotarse para ocasionar un desbordamiento de memoria en el segmento de heap al suplir código JavaScript malicioso via una aplicación que utilice el programa interprete de JavaScript vulnerable (Por ejemplo, Konqueror).

   Una explotación exitosa permitirá la ejecución de código arbitrario.

   La vulnerabilidad fue reportada de la versión 3.2.0 a la 3.5.0.

2. Impacto

   Negación de servicio (DoS).

   Acceso al sistema.

3. Solución

   Aplicar actualizaciones.

   KDE 3.4.0 - 3.5.0:
   ftp://ftp.kde.org/pub/kde/security_patches/post-3.4.3-kdelibs-kjs.diff
   ecc0ec13ce3b06e94e35aa8e937e02bf

   KDE 3.2.0 - 3.3.2:
   ftp://ftp.kde.org/pub/kde/security_patches/post-3.2.3-kdelibs-kjs.diff
   9bca9b44ca2d84e3b2f85ffb5d30e047

4. Apéndices

   http://www.kde.org/info/security/advisory-20060119-1.txt

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Floriberto López Velázquez (flopez at seguridad dot unam dot mx)