Eine Schwachstelle in den Routinen zur Verarbeitung von eingebetteten Zeichensätzen (embedded fonts) des PDF-Betrachtungsprogramms xpdf ermöglicht einem Angreifer die Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit den Privilegien des xpdf ausführenden Benutzers.

Betroffene Systeme

• xpdf 3.02pl2 und frühere Versionen
• xpdf 3.01 und frühere Versionen
• Bibliotheken oder Forks, die den betroffenen Code verwenden:
  u.A.:
  • kpdf
  • poppler 0.6 und frühere Versionen
  • KDE kword 1.5 und frühere Versionen
  • KDE KOffice 1.4.2 und frühere Versionen

Einfallstor
PDF-Datei, z.B. über eine E-Mail-Nachricht oder eine Webseite

Angriffsvoraussetzung
Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechend präparierte PDF-Datei mit xpdf betrachten
(user interaction)

Angriffsvektorklasse

• über eine Netzwerkverbindung (sofern die Datei dem Opfer per E-Mail oder über eine Webseite zugeleitet wird)
  (remote)
• lokal (sofern eine entsprechende Datei auf einem betroffenen System abgelegt wird)
  (local)

Auswirkung
Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem
(user compromise)

Typ der Verwundbarkeit
unbekannt

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Eine Schwachstelle in den Routinen zur Verarbeitung von eingebetteten Zeichensätzen (embedded fonts) ermöglicht einem Angreifer die Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit den Privilegien des xpdf-Prozesses. Dies sind die Privilegien des xpdf ausführendes Benutzers. Zur erfolgreichen Ausnutzung der Schwachstelle muss ein Benutzer eines betroffenen Systems eine PDF-Datei, die entsprechend präparierte Schriftarten enthält, mittels xpdf betrachten.

Sofern dieser Benutzer administrative Privilegien auf dem beherbergenden Rechnersystem besitzt (Beutzer root) führt die erfolgreiche Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Rechnersystems.

Gegenmaßnahmen
Installation aktualisierter Pakete der verschiedenen Linux-Distributoren, wie in deren Advisories beschrieben:

• DSA-1548-1 xpdf -- multiple vulnerabilities
• Gentoo Linux: Poppler: User-assisted execution of arbitrary code
• MANDRIVA:MDVSA-2008:089 Updated poppler packages fix vulnerability
• REDHAT:RHSA-2008:0238: Important: kdegraphics security update
• REDHAT:RHSA-2008:0239: Important: poppler security update
• REDHAT:RHSA-2008:0240: Important: xpdf security update
• Ubuntu Security Notice USN-603-1: poppler vulnerability
• Ubuntu Security Notice USN-603-2: koffice vulnerability

Vulnerability ID

• CVE-2008-1693

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/