StarDict-Plugins: Textauswahl landete unverschlüsselt auf fremden Servern
von caschy | 2 Kommentare
Wilde Geschichte: Ein aktueller Bericht zeigt eine sicherlich ungewünschte Funktion in der Open-Source-Wörterbuch-Software StarDict in Verbindung mit Plugins auf. Die unter der GPLv3-Lizenz stehende Anwendung sendet(e) unter Umständen unter X11 und mit der Standard-Konfiguration von Debian die Textauswahl der Nutzer unverschlüsselt an zwei chinesische Server.
Vincent Lefevre entdeckte diese Sicherheitslücke während der Vorbereitungen für das Debian 13 „Trixie“ Release und meldete sie am 4. August an die oss-security Mailingliste sowie den Debian Bug Tracker. Das Problem entstand durch die Kombination zweier Funktionen: Auf der einen Seite ist das stardict-plugin, das unter anderem ein Plugin für den chinesischen Suchdienst YouDao enthält. Zum anderen verfügt StarDict über eine aktivierte Scan-Funktion, die automatisch Übersetzungen für markierte Texte in einem Pop-up anzeigt.
Die Kombination dieser Funktionen führt dazu, dass jeder markierte Text an die Server von YouDao (dict.youdao.com) und dict.cn gesendet wird, und zwar laut Bericht unverschlüsselt über HTTP. Dies geschieht, solange StarDict im Hintergrund läuft, was vielleicht dem Nutzungsverhalten entspricht.
Unter Wayland tritt dieses Problem nicht auf, da das System standardmäßig verhindert, dass Anwendungen Text aus anderen Programmen auslesen können. Allerdings funktioniert dadurch auch die Scan-Funktion nicht mehr. Dürfte vermutlich hier nicht so interessant sein, da meines Wissens die englisch-chinesische Suche kein Standard ist.
Der Debian-Paketbetreuer sah die Situation weniger kritisch und verwies darauf, dass sowohl die Scan-Funktion als auch das YouDao-Plugin deaktiviert werden können. Die Paketbeschreibung erwähnt auch die Scan-Funktion, gibt aber keinen Hinweis darauf, dass das YouDao-Plugin einen Online-Dienst nutzt. Letzten Endes hätte man die Paketbeschreibung also lesen müssen.
Quasi: „Es gibt überhaupt keinen Grund, dermaßen überrascht zu tun. Alle Planungsentwürfe und Zerstörungsanweisungen haben fünfzig ihrer Erdenjahre lang in ihrem zuständigen Planungsamt auf Alpha Centauri ausgelegen. Sie hatten also viel Zeit, formell Beschwerde einzulegen, aber jetzt ist es viel zu spät, so ein Gewese darum zu machen.“
- Mehr Speicher, weniger Kosten: Im Gegensatz zu teuren Cloud-Speicher-Abonnements erfordert das NAS nur...
- Die ultimative Heimnetzwerk-Speicherlösung: Der F2-212 NAS-Speicher ist ein erschwinglicher und...
- Die WD Elements externe Festplatte bietet mit USB 3.0 eine hohe Speicherkapazität von bis zu 2 TB sowie...
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Schöner Verweis auf Douglas Adams …. 🙂
Gefixt 2009, aber wieder aufgetaucht. https://www.openwall.com/lists/oss-security/2025/08/04/1
Die Ausreden sind zwar spaßiger zu lesen, im Nerd-Gewand, jedoch dennoch BS wie in corporate-Kreisen.