LĂĽcken in xpdf betreffen mehrere Open-Source-Produkte [Update]
Zwei Schwachstellen im freien PDF-Reader xpdf lassen sich Red Hat zufolge ausnutzen, um ein System via manipuierter PDF-Dokumente zu kompromittieren. Das Problem zieht einen ganzen Rattenschwanz weiterer verwundbarer Anwendungen nach sich.
- Daniel Bachfeld
Zwei Schwachstellen im freien PDF-Reader xpdf lassen sich einem Bericht von Red Hat zufolge ausnutzen, um ein System via manipulierter PDF-Dokumente zu kompromittieren. Die Probleme beruhen auf einem nicht initialisierten Zeiger und einem Array-Index-Fehler.
Üblicherweise zieht ein Problem in xpdf einen ganzen Rattenschwanz weiterer verwundbarer Anwendungen nach sich, die auf dem xpdf-Code aufbauen, dazu gehören unter anderem poppler, CUPS, gpdf und KPDF. Red Hat macht allerdings keine konkreten Angaben zu betroffenen Versionen. Ob der Dokumentenbetrachter Evince, der auf poppler zurückgreift, ebenfalls betroffen ist, ist unbekannt.
Der Distributor hat aber fĂĽr alle genannten Produkte aktualisierte Pakete zur VerfĂĽgung gestellt. Die poppler-Entwickler haben nach Angaben des Sicherheitsdienstleister die LĂĽcken immerhin in ihrem Repository vor drei Wochen geschlossen. Bei den anderen Produkten ist der Status derzeit unklar. Sofern die Pakete anderer Distributoren betroffen sind, dĂĽrften diese bald mit Updates nachziehen.
[Update:] Die Entwicker von poppler haben die Fehler und weitere offenbar in der offiziellen Version 0.14.4 behoben (dab)