Wie Die Entwickler der grafischen Desktopoberfläche KDE haben eine Sicherheitslücke im populären Mediaplayer Kaffeine gemeldet, mit der sich über Playlisten Code in ein System schleusen und mit den Rechten des Anwenders starten lassen soll. Unter Umständen stürzt die Anwendung auch einfach nur ab. Ursache des Problems ist ein Buffer Overflow in der Funktion http_peek() beim Erzeugen eines HTTP-Header für den Zugriff auf Playlisten auf Webservern. Nähere Angaben macht das KDE-Team in seinem Fehlerbericht dazu nicht.
Für einen erfolgreichen Angriff ist eine Nutzerinteraktion notwendig, der alleinige Besuch der Webseite reicht also nicht, um sich mit Schadcode zu infizieren. Betroffen sind Kaffeine 0.4.2 bis einschließlich 0.7.1. In der seit Ende März verfügbaren Version 0.8.0 ist der Fehler schon beseitigt. Für die älteren Versionen stellen die Entwickler Patches bereit. Die Linux-Distributoren dürften in Kürze ebenfalls eigene Pakete veröffentlichen, um die Lücke zu schließen.
Der Fehlerbericht ist hier zu finden.
(zitiert aus dem heise newsticker)