Xpdf: CERT-Bund warnt vor ungepatchten Schwachstellen in freiem PDF-Viewer
Die aktuelle Version des freien PDF-Betrachters enthält mehrere Schwachstellen. Fixes gibt es bislang noch nicht.
(Bild: pixabay (Collage))
Im Open-Source-PDF-Viewer Xpdf für Linux und Windows stecken acht Schwachstellen. Angreifer könnten sie ausnutzen, um unter anderem Denial-of-Service-Angriffe durchzuführen und vertrauliche Informationen abzufangen.
Das CERT des BSI (CERT-Bund) warnt in einem Sicherheitshinweis vor den Schwachstellen und stuft die von ihnen ausgehende Gefahr insgesamt als "hoch" ein. Eine gefixte Version ist bislang nicht verfügbar. Somit sollten Nutzer des Viewers den Sicherheitshinweis genau studieren und erwägen, den Viewer vorläufig nicht mehr zu verwenden.
Die Schwachstellen wurden im öffentlich verfügbaren Code der aktuellen Xpdf-Version 4.01.01 entdeckt.
Ob und in welchem Umfang auch frühere Versionen des PDF-Betrachters verwundbar sind, ist unklar. Daher ist es durchaus möglich, dass einige (oder alle) Schwachstellen auch libpoppler, eine beliebte PDF-Rendering-Library für unixoide Betriebssysteme, betreffen. Poppler basiert auf Version 3.0 des Xpdf-Codes.
Proof-of-Concept-Code verfügbar
Der Sicherheitshinweis des CERT-Bund enthält Links zur National Vulnerability Database (NVD), die die Schwachstellen jeweils unter einer CVE-Kennung erfasst. Die NVD nennt nur für eine der Schwachstellen einen CVSS-v3-Score, der lediglich bei 5.5 ("medium") liegt. Allerdings haben die Entdecker der Schwachstellen – Mitarbeiter von Pangu Lab – in allen Fällen Proof-of-Concept-Code veröffentlicht, der Angreifern die Arbeit deutlich erleichtern könnte und so das Gefahrenpotenzial deutlich erhöht.
Release-Termin für abgesicherte Version unbekannt
Die Xpdf-Entwickler hat Pangu Lab mittels entsprechender Beiträge im Xpdf-Forum informiert. Diese stammen bereits von vergangenem Monat und wurden jeweils mit der Antwort versehen, dass man Fixes in die kommende Version aufnehmen werde.
Eine Anfrage von heise Security bezüglich des gelanten Release-Termins blieb bislang unbeantwortet.
Update 09.07.19, 13:50: Hinweis auf Poppler hinzugefügt (Näheres dazu ist uns derzeit noch nicht bekannt). (ovw)
