Updates schließen Lücke in GNU gv
Über präparierte Dokumente mit zu langen Kommentaren ließ sich ein Buffer Overflow provozieren, über den sich Schadcode einschleusen und mit den Rechten des Anwenders starten lässt.
- Daniel Bachfeld
Eine Schwachstelle im GNU-Tool gv zum Anzeigen von PostScript- und PDF-Dokumenten gefährdet die Systemsicherheit. So lässt sich laut Fehlerbericht beim Öffnen eines Dokumentes mit zu langen Kommentaren ein Buffer Overflow in der Funktion ps_gettext() provozieren, über den sich Schadcode einschleusen und mit den Rechten des Anwenders starten lässt. Eine derart präparierte Datei könnte etwa im Anhang einer Mail oder über den Download von einer Webseite auf den Rechner gelangen. Betroffen ist die Version 3.6.2 sowie vorhergehende. Ein offizielles Update steht nicht bereit. Einige Linux-Distributoren wie Debian und Mandriva haben allerdings bereits fehlerbereinigte Pakete herausgegeben.
Siehe dazu auch:
- GNU GV Stack Buffer Overflow Vulnerability, Fehlerbericht auf Bugtraq
- Updated gv packages fix buffer overflow vulnerability, Fehlerbericht von Mandriva
(dab)