Lücken in xpdf betreffen mehrere Open-Source-Produkte [Update]

Zwei Schwachstellen im freien PDF-Reader xpdf lassen sich einem Bericht von Red Hat zufolge ausnutzen, um ein System via manipulierter PDF-Dokumente zu kompromittieren. Die Probleme beruhen auf einem nicht initialisierten Zeiger und einem Array-Index-Fehler.

Üblicherweise zieht ein Problem in xpdf einen ganzen Rattenschwanz weiterer verwundbarer Anwendungen nach sich, die auf dem xpdf-Code aufbauen, dazu gehören unter anderem poppler, CUPS, gpdf und KPDF. Red Hat macht allerdings keine konkreten Angaben zu betroffenen Versionen. Ob der Dokumentenbetrachter Evince, der auf poppler zurückgreift, ebenfalls betroffen ist, ist unbekannt.

Der Distributor hat aber für alle genannten Produkte aktualisierte Pakete zur Verfügung gestellt. Die poppler-Entwickler haben nach Angaben des Sicherheitsdienstleister die Lücken immerhin in ihrem Repository vor drei Wochen geschlossen. Bei den anderen Produkten ist der Status derzeit unklar. Sofern die Pakete anderer Distributoren betroffen sind, dürften diese bald mit Updates nachziehen.

[Update:] Die Entwicker von poppler haben die Fehler und weitere offenbar in der offiziellen Version 0.14.4 behoben (dab)