Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1448

[Generic/xpdf] Schwachstelle in xpdf
(2008-04-19 09:45:08.794266+00)

Quelle: http://archive.cert.uni-stuttgart.de/bugtraq/2008/04/msg00203.html

Eine Schwachstelle in den Routinen zur Verarbeitung von eingebetteten Zeichensätzen (embedded fonts) des PDF-Betrachtungsprogramms xpdf ermöglicht einem Angreifer die Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit den Privilegien des xpdf ausführenden Benutzers.

Betroffene Systeme

Einfallstor
PDF-Datei, z.B. über eine E-Mail-Nachricht oder eine Webseite

Angriffsvoraussetzung
Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechend präparierte PDF-Datei mit xpdf betrachten
(user interaction)

Angriffsvektorklasse

Auswirkung
Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem
(user compromise)

Typ der Verwundbarkeit
unbekannt

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Eine Schwachstelle in den Routinen zur Verarbeitung von eingebetteten Zeichensätzen (embedded fonts) ermöglicht einem Angreifer die Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit den Privilegien des xpdf-Prozesses. Dies sind die Privilegien des xpdf ausführendes Benutzers. Zur erfolgreichen Ausnutzung der Schwachstelle muss ein Benutzer eines betroffenen Systems eine PDF-Datei, die entsprechend präparierte Schriftarten enthält, mittels xpdf betrachten.

Sofern dieser Benutzer administrative Privilegien auf dem beherbergenden Rechnersystem besitzt (Beutzer root) führt die erfolgreiche Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Rechnersystems.

Gegenmaßnahmen
Installation aktualisierter Pakete der verschiedenen Linux-Distributoren, wie in deren Advisories beschrieben:

Vulnerability ID

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1448