重大（Critical）：kdegraphicsのセキュリティアップデート

2つセキュリティ問題を修正したkdegraphicsのアップデートパッケージがRed Hat Enterprise Linux 5で利用可能になりました。

このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「重大（Critical）」のセキュリティ問題と評価されています。

kdegraphicsパッケージには、Kデスクトップ環境（KDE）用のアプリケーションが含まれています。Scalable Vector Graphics（SVG）は、ベクタ画像を記述するためのXMLベースの言語です。KSVGは最新のW3C SVG仕様の実装を目的としたフレームワークです。

KDEのKSVGで、アニメーション要素の実装に解放後使用（use-after-free）の欠陥が見つかりました。リモートの攻撃者が巧妙に細工したSVG画像を作成して、ユーザが疑わずに画像を開いたときにサービス拒否（Konquerorのクラッシュ）を引き起こしたり、潜在的に、Konquerorを実行しているユーザの権限で任意のコードを実行する可能性がありました。
（CVE-2009-1709）

KDEのKSVGで、SVGListインターフェイスの実装にNULLポインタデリファレンス欠陥が見つかりました。リモートの攻撃者が巧妙に細工したSVG画像を作成して、ユーザが疑わずに画像を開いたときにメモリ破壊を引き起こし、サービス拒否（Konquerorのクラッシュ）につながる可能性がありました。
（CVE-2009-0945）

すべてのkdegraphicsのユーザは、これらの問題を修正するバックポートパッチを含む上記アップデートパッケージにアップグレードしてくださいこのアップデートを有効にするには、デスクトップを再起動（ログアウト後に、再度ログイン）する必要があります。

このアップデートを適用する前に、ご使用のシステムに関係するリリース済みのエラータ/Errataがすべて適用されていることを確認してください。

このアップデートは、Red Hat Networkを通じて入手できます。

506246 - CVE-2009-1709 kdegraphics: KSVG Pointer use-after-free error in the SVG animation element (DoS, ACE)
506703 - CVE-2009-0945 kdegraphics: KSVG NULL-pointer dereference in the SVGList interface implementation (ACE)

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0945
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1709
http://www.redhat.com/security/updates/classification/#critical