KDE是一款免费开放源代码X桌面管理程序。 KDE包含的各种URI处理器存在多个输入验证问题,远程攻击者可以利用这个漏洞在系统上建立或截断文件,执行命令等操作。 KDE包含的telnet、rlogin、 ssh和mailto URI处理器没有对主机名前的\'\'-\'\'字符串进行检查,可能传递一个选项给此处理器启动的程序。 攻击者可以诱使用户打开一个特殊构建的telnet URI,可以用户进程在系统上建立或截断系统文件。 攻击者以诱使用户打开一个特殊构建的mailto URI,可启动KMail程序使它的显示重定向到用户控制的机器上,然后使用这个访问目标用户的个人文件和帐户。 攻击者以诱使用户打开一个特殊构建的mailto,可启动使用攻击者指定配置文件的KMail程序,如果攻击者可能在机器某处安装任意文件,攻击者就可以在配置文件中包含命令并执行。
KDE是一款免费开放源代码X桌面管理程序。 KDE包含的各种URI处理器存在多个输入验证问题,远程攻击者可以利用这个漏洞在系统上建立或截断文件,执行命令等操作。 KDE包含的telnet、rlogin、 ssh和mailto URI处理器没有对主机名前的\'\'-\'\'字符串进行检查,可能传递一个选项给此处理器启动的程序。 攻击者可以诱使用户打开一个特殊构建的telnet URI,可以用户进程在系统上建立或截断系统文件。 攻击者以诱使用户打开一个特殊构建的mailto URI,可启动KMail程序使它的显示重定向到用户控制的机器上,然后使用这个访问目标用户的个人文件和帐户。 攻击者以诱使用户打开一个特殊构建的mailto,可启动使用攻击者指定配置文件的KMail程序,如果攻击者可能在机器某处安装任意文件,攻击者就可以在配置文件中包含命令并执行。