Sup!

Naja, Programme die aus dem Browser ausgeführt werden haben üblicherweise kein xterm drumherum. Und wenn sie dann nicht mit dem X-Server reden um ihre Ausgaben anzuzeigen ist das ganze etwas witzlos.

Ich denke, Programme, die aus dem Browser ausgeführt werden, wie Applets oder Plugins, machen ihre Ausgaben über eine Plugin-Schnittstelle und nicht direkt via X-Server.

Der 'exploit code' besteht in diesem Fall aus den Befehlen um die Tastendrücke für Strg-Alt-T (icewm) oder Alt+F2 (KDE) oder ähnlich über den X-Server an den Fenstermanager oder das Desktopenvironment zu schicken. Nicht grade rocket science.

Tastendrücke an das System zu schicken, die wie vom User kommend aussehen, sollte für ein Programm, dass nicht unter der Kennung des Users läuft, gar nicht möglich sein.

Bio