发布日期：2002-09-08
更新日期：2002-09-16

受影响系统：

KDE Konqueror the web browser 3.0.3
KDE Konqueror the web browser 3.0.2
KDE Konqueror the web browser 3.0.1
KDE Konqueror the web browser 3.0
KDE Konqueror the web browser 2.2.2
    - Linux系统  
    - Unix系统

描述：

---

CVE(CAN) ID: CVE-2002-1151

Konqueror是一款KDE下默认安装的WEB浏览器。

Konqueror没有正确处理在子帧(sub-(i)frames)中初始化的域，远程攻击者可以利用这个漏洞进行跨站脚本执行攻击。

Konqueror对于由在子帧(sub-(i)frames)中初始化的域缺少正确的跨站脚本保护，结果可以导致定义在HTML中的脚本代码可以访问任意外部子帧。Konqueror用户和其他KDE软件使用KHTML显示输出引擎可以受到跨站脚本执行攻击，导致用户用于认证的Cookie信息泄露。

<*来源：Dirk Mueller （mueller@kde.org）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=103175850925395&w=2
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时关闭Konqueror的Javascript功能或者不使用cookie。

厂商补丁：

KDE
---
使用KDE 3.0.3的用户请使用如下补丁：

ftp://ftp.kde.org/pub/kde/security_patches :
  
523b2fb677310792cbb04861f358d08d post-3.0.3-kdelibs-khtml.diff

使用KDE 2.2.2的用户请使用如下补丁：

ftp://ftp.kde.org/pub/kde/security_patches :
  
b0b23c3caa062c60375a1160418a2810 post-2.2.2-kdelibs-khtml.diff

kdelibs-3.0.3a不存在此漏洞，可以从如下地址获得：

http://download.kde.org/stable/3.0.3 :

02627f595af113f7d544561a7ff6ec85 kdelibs-3.0.3a.tar.bz2

浏览次数：3047
严重程度：0（网友投票）