-
Durch eine Sicherheitslücke im freien PDF-Reader xpdf können Angreifer die Systeme von Anwendern kompromittieren. Der Fehler findet sich in der Funktion doImage() des Moduls Gfx.cc, die beim Einlesen manipulierter PDF-Dokumente Teile des Stacks überschreibt. Ein Angreifer kann so eigenen Code in das System einbringen und mit den Rechten des Anwenders ausführen. Nach Angaben von iDEFENSE ist der Fehler in Version 3.00 vorhanden, in 3.00pl2 ist das Problem beseitigt. Die Linux-Distributoren haben bislang noch keine neuen Pakete herausgegeben.
Quelle : www.heise.de
-
iDEFENSE hat einen weiteren Fehler im freien PDF-Reader xpdf gemeldet, mit dem Angreifer das System eines Opfers unter ihre Kontrolle bringen können. Präparierte PDF-Dokumente mit bestimmten "/Encrypt /Length"-Attributen provozieren in der Funktion Decrypt::makeFileKey2 einen Buffer Overflow beim Einlesen. Damit lässt sich Code auf den Stack schreiben und mit den Rechten des Anwenders ausführen.
Die Funktion dient zur Verarbeitung von geschützten PDF-Dokumenten. Betroffen ist Version 3.0 bis 3.0pl2 und wahrscheinlich auch frühere Versionen. Der Patch 3.00pl3-patch schließt die Lücke. Bereits im Dezember hatte iDEFENSE eine Lücke in xpdf gemeldet, woraufhin die Linux-Distributoren neue Pakete herausgeben mussten.
Quelle : www.heise.de
-
Die PDF-Betrachter Xpdf sowie kpdf, deren Komponente pdf2ps im CUPS-Drucker-Daemon häufig für die Aufbereitung von zu druckenden PDF-Dateien zuständig ist, lassen sich mit manipulierten PDF-Dateien aus dem Tritt bringen und ermöglichen so einen Denial-of-Service-Angriff. Ein Angreifer könnte einen CUPS-Server zum Absturz bringen, indem er eine präparierte PDF-Datei an diesen zum Drucken sendet, oder eine solche Datei an einen Mail-Empfänger schicken, dessen System beim Anzeigen des Dokuments zum Stillstand kommt.
Die Lücke besteht darin, dass eine möglicherweise vorhandene "loca"-Tabelle in einem PDF-Dokument nicht hinreichend auf ihre Gültigkeit überprüft wird. Diese Tabelle enthält Informationen zu den Glyphen eingebetteter True-Type-Schriften. Ist diese Tabelle defekt, versucht Xpdf die Informationen zu rekonstruieren, und füllt dabei den gesamten verfügbaren Plattenplatz im /tmp-Verzeichnis. Danach reagiert die Anwendung nicht mehr.
Für Xpdf gibt es keinen Workaround, auch ist ein Erscheinungstermin für einen Patch unbekannt. Zahlreiche Linux-Distributoren liefern jedoch aktualisierte Pakete aus, die den Fehler beheben. Das KDE-Entwickler-Team hält für kpdf ebenfalls Flicken parat.
Quelle und Links : http://www.heise.de/newsticker/meldung/62671
-
Der freie PDF-Betrachter Xpdf enthält insgesamt vier Schwachstellen, die beim Betrachten manipulierter PDF-Dateien zu Heap-Overflows führen können. Wie aus den Advisories von iDefense hervor geht, kann es dadurch zur Ausführung von beliebigem Schadcode mit den Rechten des Benutzers beziehungsweise der übergeordneten Applikation kommen. Laut den Advisories sind alle Xpdf-Versionen einschließlich der aktuellen Version 3.01 von den Schwachstellen betroffen. Einen Source-Patch auf Version 3.01pl1 haben die Xpdf-Entwickler ebenso auf ihrem FTP-Server bereit gestellt wie vorkompilierte Binaries für Linux, Solaris und DOS/Win32. Die Linux-Distributoren dürften bald aktualisierte Pakete anbieten, die umgehend eingespielt werden sollten.
Die problematischen Code-Fragmente befinden sich nach Tests von heise Security ebenfalls in den Xpdf-basierten Quellen der aktuellen Versionen von GPdf, KPDF und der PDF-Bibliothek Poppler. Teile des Drucksystems Cups und der aktuelle PDF-Betrachter des Gnome-Projektes Evince bauen auf Poppler auf und dürften die Probleme somit ebenfalls geerbt haben. Bis entsprechende Patches und aktualisierte Pakete verfügbar sind, ist besondere Vorsicht beim Betrachten beziehungsweise Ausdrucken nicht vertrauenswürdiger PDF-Dokumente zu empfehlen.
Siehe dazu auch:
* Multiple Vendor xpdf DCTStream Baseline Heap Overflow Vulnerability Fehlerreport von iDefense
* Multiple Vendor xpdf DCTStream Progressive Heap Overflow Fehlerreport von iDefense
* Multiple Vendor xpdf StreamPredictor Heap Overflow Vulnerability Fehlerreport von iDefense
* Multiple Vendor xpdf JPX Stream Reader Heap Overflow Vulnerability Fehlerreport von iDefense
Quelle und Links : http://www.heise.de/newsticker/meldung/67056
-
Die freie PDF-Software Xpdf überprüft in der Quellcode-Datei splash/Splash.cc die Dimensionen eingebetteter Vorschaubilder, so genannte Splash-Images, nicht ordnungsgemäß. Infolge dessen kann es bei der Verarbeitung manipulierter PDF-Dokumente in dem für die Splash-Bilder angeforderten Speicherbereich zu einem Heap-Overflow kommen. Dieser lässt sich nach Einschätzung des Sicherheitsdienstleisters FrSIRT zur Ausführung von beliebigem Schadcode nutzen.
Die Funktionen zur Verarbeitung von Splash-Bildern wurde erst in Xpdf 3.00 eingeführt. Ebenfalls betroffen sind alle Versionen einschließlich der aktuellen Version 3.01p1. Bisher wurde lediglich im Bugtracking-System von Red Hat ein ungeprüfter und inoffizieller Patch vorgeschlagen. Ein offizieller Patch existiert bisher offenbar noch nicht.
Erst vor kurzem wurden mehrere Lücken mit gleichen Auswirkungen in dem freien PDF-Tool behoben. Da es die Grundlage für viele andere PDF-Betrachter, Bibliotheken und Druckdienste bildet, dürften auch diese wieder von dem xpdf-Problem betroffen sein. Unter anderem basieren GPdf, KPDF, Evince, Poppler und Cups auf den Quellen von Xpdf. Beim Einsatz betroffener Programme ist also nachwievor besondere Vorsicht beim Betrachten und Drucken nicht vertrauenswürdiger PDF-Dokumente geboten.
Siehe dazu auch:
* Xpdf "Splash.cc" Splash Images Handling Buffer Overflow Vulnerability, Advisory von FrSIRT
Quelle und Links : http://www.heise.de/security/news/meldung/69073
-
"Er aber, Siddhartha, schuf. Und er warf sich ins Gras und weinte." Was anfängt wie eine Dichtung von Hermann Hesse entpuppt sich als nächste Generation von Spam-Mails. Derzeit kursieren sie massenhaft. Um die Spam-Filter auszutricksen, enthält der eigentliche Text der Spam-Mail zwar leicht wirre Phrasen, die lassen aber bei der Prüfung durch den Spam-Filter kaum Verdacht auf Junk-Mails aufkommen. Im Anhang steckt dann allerdings profanes Stock-Spam: In einem PDF-Dokument wird für Aktien der Firma Talktech geworben. Da mittlerweile auf jedem PC ein PDF-Reader installiert ist, dürfte es beim Öffnen des Dokuments keine Probleme geben. Und die Spam-Filter analysieren derzeit noch keine PDFs.
(http://www.heise.de/bilder/91509/0/1)
Angebliche Insider-Tipps in "Stock-Spams" sollen Privatanleger dazu verleiten, schnell zuzuschlagen.
Das Ziel der Auftraggeber derartiger Spam-Wellen ist klar: Sie kaufen Papiere zum günstigen Kurs, wollen den Preis der Aktie in die Höhe treiben und dann schnell ihren Gewinn mitnehmen. Das betroffene Unternehmen hat in der Regel mit solchen Manipulationsversuchen nichts zu tun. Dass Aktien-Spams die Kursverläufe tatsächlich beeinflussen können, zeigten Studien bereits Anfang des Jahres 2006.
Mit den PDF-Spam-Mails haben die Spammer ähnlich wie Ende des Jahres 2006 mit Bilder-Spams einen neuen Weg gefunden, die Filter auszutricksen. Die Bilder-Spams, deren GIFs sich ständig veränderten, waren nur schwer in den Griff zu bekommen. Allerdings sind die diesmal beigefügten PDF-Dokumente, abgesehen von Dateinamen, alle gleich. Anhand der identischen Prüfsumme sollten sich derartige Anhänge erkennen und ausfiltern lassen. Es ist aber damit zu rechen, dass die Spammer auch die PDFs demnächst dynamisch generieren werden.
Quelle : www.heise.de
-
Glücklicherweise zeigen E-Mailer PDFs (noch) nicht automatisch eingebunden an, denn sonst müsste man zusätzlich mit Sicherheits-Risiken rechnen.
Wenn ich nun, trotz aller Filterung, eine Mail mit absolut blödsinnigem Inhalt erhalte, warum sollte ich dann so dämlich sein, auch noch einen Anhang zu öffnen ? ? ?
Aber wahrscheinlich müsste man (mindestens) genau so dämlich sein, solche penny stocks dann auch noch zu kaufen...
Gier und Verstand vertragen sich eben nicht...
-
....
Aber wahrscheinlich müsste man (mindestens) genau so dämlich sein, solche penny stocks dann auch noch zu kaufen...
Gier und Verstand vertragen sich eben nicht...
Es war schon immer so: Gier frisst Hirn
aber das ist der Treibstoff des Systems. Es gibt 2 grundlegende Fakten die man beachten sollte:
1. Es schenkt Dir niemand etwas von größerem Wert, oder siehst Du einen Grund jemandem wildfremden einfach so Geschenke zukommen zu lassen?
2. Wenn Dir Geschäfte mit großen bis riesigen Gewinnchancen einfach so angeboten werden stellen sich die Fragen warum gerade Dir und warum macht der Anbieter das Geschäft nicht selbst??? -- ansonsten gilt Punkt 1
-
Die KDE-Entwickler haben eine Sicherheitsmeldung zu einer Schwachstelle bei der Verarbeitung von präparierten PDF-Dateien herausgegeben. Öffnet ein Anwender eine solche Datei mit XPDF, kpdf, KOffice oder anderer Software, die Quellcode aus XPDF übernommen hat, kann ein Pufferüberlauf auftreten und fremder Programmcode zur Ausführung kommen.
Der Fehler beruht auf einem Ganzzahlüberlauf in der Funktion StreamPredictor::StreamPredictor(). Die Entwickler haben Quellcode-Patches für die betroffenen Software-Versionen bereitgestellt. Der Fehler betrifft XPDF 3.02 und möglicherweise vorhergehende Versionen, KDE 3.2.0 bis einschließlich 3.5.7 sowie KOffice 1.2.1 und neuere Fassungen.
Auch andere Programmpakete, die den fehlerhaften Code aus XPDF nutzen, enthalten die Schwachstelle. Red Hat hat inzwischen auch Softwareaktualisierungen für CUPS, gpdf und poppler herausgegeben, die diese Lücke schließen. Die anderen Linux-Distributoren dürften in Kürze ebenfalls aktualisierte Pakete veröffentlichen, die Anwender zügig einspielen sollten.
Siehe dazu auch:
* kpdf/kword/xpdf stack based buffer overflow, Sicherheitsmeldung der KDE-Entwickler
* cups security update, Fehlermeldung von Red Hat
* gpdf security update, Fehlerbericht von Red Hat
* poppler security update, Sicherheitsmeldung von Red Hat
* Quellcode-Patch für XPDF
* Quellcode-Patch für KDE 3.3.2 und neuer
* Quellcode-Patch für KOffice 1.2.1 und neuer
Quelle und Links : http://www.heise.de/security/news/meldung/93616
-
Nicht nur in Form verschwommener GIF- und JPG-Bildchen sowie als PDF- und Excel-Dateien verbreiten Spammer Aktien-Kauftipps, sondern neuerdings auch als MP3-Dateien. E-Mail-Anhänge mit Namen wie "elvis.mp3", "bspears.mp3" oder "loveyou.mp3" sollen Anwender dazu verleiten, das entsprechende Wiedergabeprogramm zu starten und sich in dürftiger Qualität (16 kbps), mit verfremdeter Stimme und in englischer Sprache vorgelesene Aktientipps anzuhören. Darüber hinaus scheinen die Dateien harmlos zu sein.
Die Anhänge sind jedoch mit etwa 150 Kilobyte deutlich größer als sonstige Spam-Mails, die meist weniger als ein Zehntel dessen transportieren, und belasten die Mailsysteme der Empfänger entsprechend stärker. Die von den Spamfallen der iX aufgefangenen, vertonten Mails enthalten außer dem Anhang keinen Inhalt und sind mit nichtssagenden Betreffzeilen wie "Fwd:", "(no subject)" oder dem Namen der vermeintlichen Musikdatei ausstaffiert. Sie gingen von vielen verschiedenen IP-Adressen aus, ein Hinweis darauf, dass die Urheber über ein größeres Botnetz verfügen.
Dass Videos zum Verschleiern von Spam-Inhalten herhalten müssen, dürfte nur eine Frage der Zeit sein. Dann werden aber selbst 150 Kilobyte pro Spam-Mail nicht mehr ausreichen.
Quelle : www.heise.de
-
Internetnutzer erwartet eine neue Welle von Spam-Botschaften, die sich in MP3-Dateianhängen verbergen. Die Sounddateien enthalten vorgelesene Werbebotschaften und könnten in Zukunft rege Verbreitung finden.
Nach Ansicht des Internet-Dienstleisters Strato AG rollt eine neue Spam-Welle auf E-Mail-Anwender zu. Dabei handelt es sich um vorgelesene Werbebotschaften, die sich in MP3-Dateien verbergen. René Wienholtz, Vorstandsmitglied bei Strato, spricht bereits von einer bevorstehenden Epidemie. In der vergangenen Woche hätten die Versender der Werbe-Mails erstmals ihren digitalen Müll verbreitet, um die technischen Möglichkeiten auszuloten. In den Sound-Dateien wirbt eine verzerrte, schwer verständliche Stimme für eine US-Firma. Die Erzeuger dieser so genannten Aktien-Spams hoffen damit, den Kurs der Wertpapiere eines Unternehmes in die Höhe treiben zu können und daraufhin ihre Aktien zu verkaufen. Wienholtz weißt Vermutungen anderer Experten zurück, die den MP3-Spams nur geringe Chancen einräumen: „Die Spammer kennen sich mit der Technik aus - sie werden Wege finden, dass man den Text besser verstehen kann.“. Die individuelle Verzerrung der Dateien ermöglicht es den Versendern, die Filter der Mail-Anbieter teilweise zu umgehen und diese so an die Endanwender zustellen zu lassen.
Strato habe nach eigenen Aussagen bereits wirksame Filter im Einsatz, um das tägliche Volumen von 200 bis 250 Millionen E-Mails auch in Zukunft von unerwünschten Nachrichten säubern zu können. Laut Strato schade die Werbeflut den E-Mail-Anbietern ganz erheblich. Knapp 20 Prozent der von den Kunden gezahlten Gebühren werden für Spam-Abwehr aufgewendet. Nutzer von Gratiskonten hingegen müssen so in Zukunft mit noch mehr Werbe-Einblendungen rechnen. Wienholtz sieht ähnliche Entwicklungen auch bei anderen Mail-Anbietern. Die Kosten für Personal, Speicherplatz und Forschung werden durch unerwünschte Werbebotschaften immer weiter ansteigen. Zur Abwehr arbeite man bereits erfolgreich mit der Humboldt-Universität Berlin und dem Max-Planck-Institut zusammen.
Quelle : www.pcwelt.de
-
Der Sicherheitsdienstleister Secunia hat in dem quelloffenen PDF-Viewer Xpdf mehrere Sicherheitslücken entdeckt, die Angreifern das Einschleusen von Schadcode ermöglichen. Dazu müssen Benutzer lediglich präparierte PDF-Dokumente mit der Software öffnen. Die Entwickler haben inzwischen reagiert und einen Quellcode-Patch veröffentlicht.
Die Fehler finden sich allesamt in der Datei Stream.cc der Xpdf-Quellen: In der Funktion DCTStream::readProgressiveDataUnit() kann beim Indexieren eines Arrays eine Speicherkorruption auftreten. Ein Ganzzahlüberlauf in DCTStream::reset() kann zu einem Pufferüberlauf auf dem Heap führen. Eine dritte Lücke in CCITTFaxStream::lookChar() kann ebenfalls zu einem heapbasierten Pufferüberlauf führen.
Die Fehler betreffen Xpdf 3.02pl1 und möglicherweise auch andere Versionen. Da Projekte wie kpdf oder KOffice Code von Xpdf verwenden, sind die Sicherheitslücken wahrscheinlich auch darin zu finden. Inzwischen haben die Xpdf-Entwickler einen Patch auf Version 3.02pl2 veröffentlicht, der die Schwachstellen korrigieren soll. Nutzer der Software sollten entweder den Quellcode patchen, das Programm neu kompilieren und installieren oder aktualisierte Pakete von ihrem Linux-Distributor einspielen, sobald sie verfügbar sind. Bis dahin sollten sie PDF-Dateien aus zweifelhaften Quellen nicht öffnen.
Siehe dazu auch:
* Xpdf "Stream.cc" Multiple Vulnerabilities, Sicherheitsmeldung von Secunia
* Download der aktuellen Xpdf-Quellen und der Patches
Quelle und Links : http://www.heise.de/security/news/meldung/98631/Patch-behebt-Sicherheitsluecken-in-Xpdf
-
Der Sicherheitsdienstleister Secunia warnt vor einer kritischen Lücke in Ghostscript, die sich durch speziell präparierte PDF-Dateien ausnutzen lasse. Ghostscript war ursprünglich ein quelloffener Postscript-Interpreter, lernte später jedoch auch den Umgang mit PDF-Dateien.
Anzeige
Beim Dekodieren von JBIG2-Streams in PDF-Dateien kann es zu einem Pufferüberlauf auf dem Heap kommen. Einen ähnlichen Fehler musste erst kürzlich Adobe im Adobe Reader beseitigen. Laut Secunia ist die aktuelle Ghostscript-Version 8.64 betroffen, eine fehlerbereinigte Version gibt es offenbar noch nicht. In der Fehlerdatenbank des Linux-Distributors Redhat gibt es allerdings bereits einen Patch (https://bugzilla.redhat.com/show_bug.cgi?id=493379), der hoffentlich bald in eine neue Version einfließen wird.
Siehe dazu auch:
* Ghostscript jbig2dec JBIG2 Processing Buffer Overflow (http://secunia.com/secunia_research/2009-21/), Sicherheitsnotiz von Secunia
Quelle : www.heise.de
-
Ein Update für den freien PDF-Viewer xpdf behebt zahlreiche Schwachstellen, von denen sich einige zum Einschleusen und Ausführen von Code ausnutzen lassen. Ursache der Probleme sind Buffer Overflows und andere Fehler im JBIG2-Decoder, wie sie kürzlich auch die Produkte von Adobe aufwiesen. Die Fehler lassen sich durch präparierte PDF-Dokumente provozieren. Betroffen ist xpdf 3.x
Der Linux-Distributor Red Hat listet in seinem Fehlerbericht insgesamt zehn Schwachstellen in xpdf auf, wovon sieben die Infektions eines PCs ermöglichen, drei führen nur zum Absturz der Anwendung. Das offizielle Update Xpdf 3.02pl3 des Herstellers Foolab behebt die Fehler. Zusätzlich steht ein Patch bereit. Die Linux-Distributoren geben ebenfalls aktualisierte Pakete heraus oder bereiten dies vor.
Da auch Anwendungen wie KOffice und poppler Teile des xpdf-Codes nutzen, könnten auch diese verwundbar sein. Bislang gibt es jedoch noch keine Meldungen dazu
* xpdf security update (http://rhn.redhat.com/errata/RHSA-2009-0430.html), Bericht von Red Hat
Quelle : www.heise.de
-
Mehrere PDF-Anwendungen weisen Sicherheitslücken auf, durch die Angreifer ein System mit Schädlingen infizieren können. So verursacht das Foxit-Plug-in (npFoxitReaderPlugin.dll) für den Webbrowser Firefox unter Windows beim Laden und Entladen bestimmter COM-Objekte ein Speicherleck, das sich vermutlich zum Einschleusen und Ausführen von Code über präparierte Webseiten ausnutzen lässt. Der Fehler wurde in der Version 3.1.1.0928 gefunden und zusätzlich für die aktuelle Version Foxit Reader 3.1.2.1013 (mit Firefox 3.5.3) bestätigt. Ein ähnlicher Fehler beim Laden von Objekten wurde kürzlich im Adobe Reader beseitigt. Für den Foxit-Reader gibt es indes noch kein Update.
Darüber hinaus ist für den freien PDF-Reader xpdf ein Patch erschienen, der vier Sicherheitsprobleme in der Version 3.02 beseitigt. Für eine auf einem Buffer Overflow und eine auf einer Null-Pointer-Dereferenzierung beruhende Lücke gibt es bereits Exploits. Üblicherweise zieht ein Problem in xpdf einen ganzen Rattenschwanz weiterer verwundbarer Anwendungen nach sich, die auf dem Code aufbauen, etwa poppler, CUPS , gpdf und KPDF.
In CUPS sollen die Lücken in der offiziellen Version 1.4.1 geschlossen sein. Für KPDF, poppler und gpdf gibt es noch keine offiziellen Updates. Allerdings hat der Linux-Distributor Red Hat neue Pakete für diese Anwendungen herausgegeben. Vermutlich ziehen die anderen Distributoren bald nach. Bis dahin sollten Anwender etwa unverlangt zugesandten PDF-Dokumenten misstrauisch gegenüberstehen und sie in alternativen PDF-Readern öffnen.
Quelle : www.heise.de
-
Im neuen Jahr sind der Adobe Reader und Adobe Acrobat weiterhin anfällig für Angriffe. Ein besonders raffinierter Angriff nutzt die als CVE-2009-4324 bekannte Lücke aus. Weder auf Anti-Viren-Software noch auf Adobe sollten sich Anwender derzeit verlassen.
Derzeit sollen besonders ausgefeilte Angriffe mit PDF-Dateien im Umlauf sein, berichtet das Internet Storm Center. Die PDF-Dateien nutzen eine bekannte Sicherheitslücke in Adobes PDF-Produkten Reader und Acrobat aus. Diese Angriffe kommen zusätzlich zu den ohnehin schon im Umlauf befindlichen schädlichen PDF-Dateien.
Der Angriff, der anscheinend rund um den Jahreswechsel in Umlauf gebracht wurde, soll verschiedene Stufen haben. Auf den ersten Blick sah der vom ISC analysierte Shellcode der ersten Stufe so aus, als sei er harmlos. Von der ersten Stufe aus wird die zweite Stufe gezündet. Diese öffnet die PDF-Datei direkt. In der PDF-Datei befinden sich gleich zwei schädliche Dateien.
Die erste Datei, suchost.exe, ist die eigentliche Schadsoftware. Die zweite Datei, temp.exe, hinterlässt auf dem Rechner eine harmlose PDF-Datei namens baby.pdf, um den Angriff nicht zu offensichtlich erscheinen zu lassen. Wenn der Angreifer nämlich die Angriffs-PDF-Datei öffnet, stürzt die PDF-Software ab und das Opfer könnte misstrauisch werden. Um das zu verhindern, öffnet temp.exe die harmlose Datei mit dem Namen baby.pdf - eine einfache leere Tabelle, die von einem Excel-Dokument erstellt wurde.
Das ist ein enormer Aufwand, um einen Rechner anzugreifen. Offensichtlich sind Angreifer auch bereit, die PDF-Angriffe den Opfern entsprechend anzupassen. Nutzer von Adobe Software sollten zumindest Javascript im Reader und bei Acrobat deaktivieren. Laut ISC nimmt die Anzahl der Angriffsvarianten derzeit zu, die die PDF-Sicherheitslücke ausnutzen.
Anti-Virus-Software und Adobe müssen hilflos zusehen
Eigenen Bekundungen zufolge will Adobe am 12. Januar 2010 das PDF-Sicherheitsproblem beheben. In der Zwischenzeit empfiehlt es sich, bei unerwarteten PDF-Dateien besonders vorsichtig zu sein. Laut dem ISC erkannten zum Jahreswechsel gerade einmal sechs von 40 Virenscannern den Angriff.
Der Rest würde ein PDF dieser Machart zunächst durchlassen. Die suchost.exe erkannte immerhin die Hälfte aller Virenscanner. Möglicherweise hat sich die Erkennungsrate in den letzten Tagen verbessert. Prinzipiell besteht aber auch die Möglichkeit, dass die Angriffslast in der PDF-Datei durch andere Lasten ausgetauscht wird. Letztendlich fungiert die PDF-Datei hier nur als sehr ausgefeilter Träger des eigentlichen Angriffs.
Wer ein verdächtiges PDF-Dokument öffnen oder grundsätzlich auf Nummer sicher gehen möchte, sollte auf einen alternativen PDF-Reader wechseln. Unter Windows gibt es mit Sumatra-PDF ein besonders schlankes PDF-Anzeigeprogramm, das allerdings nur Grundfunktionen bietet. Weitere Alternativen sind der PDF X-Change Reader und der Foxit Reader.
Quelle : www.golem.de
-
Laut einer Meldung (http://secunia.com/advisories/37053/) der Sicherheitsexperten von Secunia treten die Schwachstellen in allen aktuellen Versionen von Xpdf vor Version 3.02pl4 auf. Alle vier Sicherheitslücken erlauben einen Heap-basierten Integer Überlauf und sind auf Implementierungsfehler in verschiedenen Funktionen zurückzuführen. Durch die gezielte Manipulation eines PDF-Dokuments können Angreifer beliebigen Schadcode in ein betroffenes System einspeisen und zur Ausführung bringen. Die neuste Version 3.02pl4 beseitigt diesen Mangel. Einige Linux Distributionen, wie beispielsweise Fedora, liefern bereits einen Patch aus.
Quelle : www.tecchannel.de
-
Online-Werbung kann Nutzer nicht nur informieren, sondern sorgt teilweise auch für die Verteilung von Malware. Die Sicherheitsfirma Trend Micro warnt nun vor einem manipulierten Ad-Server der Trojaner statt Werbung ausliefert.
Erneut scheinen Kriminelle einen Server gehackt zu haben, der für das Ausliefern von Online-Werbung zuständig ist. Wie Trend Micro in einem aktuellen Beitrag (http://blog.trendmicro.com/malicious-ads-lead-to-pdf-exploits/) warnt, führen verschiedene Werbungen zu einer manipulierten Website. Um ihre Opfer mit der Malware zu infizieren, nutzen die Kriminellen ein PDF-Exploit um einen Trojaner zu verbreiten.
Das größte Problem an der Attacke ist, dass sie eine neue Verschlüsselungstechnik verwendet. Dadurch hebelt sie die normalen Schutzfunktionen aus, die verschiedene Tools bieten. Als Schutz gegen diese Attacke empfiehlt die Sicherheitsfirma ein Browser-Plugin, das den Zugriff auf bösartige Websites unterbindet.
Quelle : www.tecchannel.de
-
Gar nicht gut: Der PDF-Sicherheitsspezialist Didier Stevens hat ein PDF-Dokument entwickelt, das – ohne eine konkrete Schwachstelle auszunutzen – einen PC infizieren könnte. Der Demo-Exploit funktioniert sowohl im Adobe Reader als auch in Foxit. Stevens macht sich dabei nach eigenen Angaben die Option "Launch Actions/Launch File" zunutze, die sogar im PDF eingebettete Skripte oder EXE-Dateien starten kann – diese Option ist Bestandteil der PDF-Spezifikation.
Der Adobe Reader fragt zwar beim Anwender nach, ob dieser dem Start der Datei zustimmt, allerdings lässt sich der Dialog so gestalten, dass der Anwender keinen Verdacht schöpft, es geschehe gerade etwas Ungewolltes. Beim Foxit-Reader kommt indes gar kein Warnhinweis. Der PDF-Reader Sumatra soll nicht verwundbar sein.
Stevens will sein PDF-Dokument mit eingebettetem Code nicht veröffentlichen, bis er eine Reaktion von den Herstellern hat. Bis dahin stellt er aber ein Dokument bereit, das zumindest die Eingabeaufforderung beim Öffnen des PDFs startet. Im Test der heise-Security-Redaktion fünktionierte dies unter Windows 7 mit den aktuellen Versionen des Adobe und Foxit Reader. Prinzipiell ließe sich auf diesem Wege auch ein FTP-Download starten, der einen Trojaner nachlädt und startet.
Das Abschalten von JavaScript im Reader bietet keinen Schutz. Laut Stevens hilfts es aber zumindest im Adobe Reader, das Starten neuer Prozesse zu verhindern. Dann funktioniert aber der Update-Check auch nicht mehr.
Siehe dazu auch:
* Escape From PDF (http://blog.didierstevens.com/2010/03/29/escape-from-pdf/), Bericht von Didier Stevens
* “Escape From Foxit Reader (http://blog.didierstevens.com/2010/03/31/escape-from-foxit-reader/)”, Bericht von Didier Stevens
Quelle : www.heise.de
-
Nutzer von Adobe Reader und Acrobat müssen dafür eine Einstellung ändern. Sie verhindert das Ausführen von Nicht-PDF-Dateianlagen. Möglicherweise wird Adobe das Problem mit einem künftigen Sicherheitsupdate beheben.
Adobe hat einen Workaround für eine Lücke in den PDF-Spezifikationen veröffentlicht, die es ermöglicht, nach nur geringer Interaktion mit einem Nutzer in PDF-Dateien eingebetteten Schadcode auszuführen. Das Unternehmen rät Nutzern seiner PDF-Produkte Adobe Reader und Acrobat, eine Einstellung in den Anwendungen zu verändern, um die Folgen eines Angriffs einzugrenzen.
(http://www.zdnet.de/i/news/201002/adobe_pdf_workaround-v6.jpg)
Nutzer können in den Einstellungen von Adobe Reader und Acrobat das Öffnen von Nicht-PDF-Dateianlagen in externen Anwendungen abwählen
Anwender sollen in den Voreinstellungen, die über das Menü "Bearbeiten" aufgerufen werden können, in der Kategorie "Berechtigungen" den Haken beim Eintrag "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" entfernen. Nach Auskunft der Adobe-Sprecherin Wiebke Lips wird dadurch verhindert, dass andere als PDF-Dateianlagen beim Öffnen einer PDF-Datei ausgeführt werden.
Administratoren können die Änderung auch über die Windows-Registrierungsdatenbank (Registry) vornehmen. Dazu müssen sie den Wert (DWORD) des Schlüssels " HKCU\Software\Adobe\Acrobat Reader\\Originals\bAllowOpenFile" auf "0" setzen.
Adobe sucht weiter nach Möglichkeiten, um die Auswirkungen des Fehlers abzuschwächen. Auch die Veröffentlichung eines Patches sei nicht ausgeschlossen, so das Unternehmen.
Für den ebenfalls betroffenen Foxit Reader steht ein Update bereit. Es sorgt dafür, dass eine Warnmeldung eingeblendet wird, sobald in PDF-Dateien eingebetteter Code ausgeführt werden soll. Hacker könnten mittels Social Engineering einen Anwender aber immer noch dazu bewegen, die Ausführung von Nicht-PDF-Dateianlagen zuzulassen.
Quelle : www.zdnet.de
-
Adobe erwägt, auf einen möglichen Exploit des PDF-Standards mit einer Änderung seiner Produkte zu reagieren. Der Exploit ermöglicht das Ausführen von Schadcode auf dem Rechner des Opfers und funktioniert unabhängig von Schwachstellen in der Reader-Software.
Der Exploit wurde vor Kurzem von Sicherheitsforscher Didier Stevens entdeckt. Stevens bezeichnete seinen erfolgreichen Angriff als "kreatives Ausnutzen von PDF-Standards". Als Reaktion auf den Angriff veröffentlichte Adobes Konkurrent Foxit für seinen ebenfalls betroffenen Foxit Reader kürzlich einen Patch, der das Problem auf nicht näher spezifizierte Weise verhindern soll - es scheint allerdings, als habe man lediglich eine warnende Dialogbox hinzugefügt, die beim Ausführen des Schadcodes erscheint. Von Adobe dagegen hörte man zunächst nichts zu diesem Thema - bis zum gestrigen Mittwoch.
Nun erklärte Adobe, man erwäge Veränderungen der PDF-Reader-Software. Firmensprecher Steve Gottwals erklärte, man suche derzeit nach der besten Lösung für das bestehende Problem. Diese werde man dann mit einem der planmäßigen vierteljährlichen Updates verteilen.
Derweil gelang es dem Sicherheitsforscher Jeremy Conway, auf Stevens' Angriff aufzubauen, obwohl dieser den Quellcode seines Angriffs nicht komplett veröffentlicht hatte. Conway fand einen Weg, den Schadcode über sämtliche auf dem Rechner des Opfers abgelegten PDFs zu verbreiten. Darüberhinaus manipulierte er, wie es auch Stevens bereits beschrieb, die Warnmeldung des Adobe Reader, um den Benutzer zum Öffnen des Schadcodes zu ermutigen.
Quelle : www.gulli.com
-
Wie nicht anders zu erwarten, nutzen Malware-Spammer die Möglichkeit EXE-Dateien aus PDF-Dokumenten heraus zu starten inzwischen aus. Das erste Beispiel macht bereits die Runde, weitere dürften bald folgen.
Vor kaum zwei Wochen ist eine problematische Eigenschaft von PDF-Dateien bekannt geworden, die es (ohne eine Sicherheitslücke im PDF-Betrachter zu nutzen) ermöglicht eingebettete EXE-Dateien zu starten. Jetzt ist das erste Trojanische Pferd aufgetaucht, das diese Designschwäche in der PDF-Spezifikation ausnutzt, um den Rechner zu infizieren.
Der belgische Sicherheitsforscher Didier Stevens hatte diesen PDF-Angriff bekannter gemacht, ohne jedoch alle Details zu veröffentlichen. Offenbar genügten die Informationen jedoch, um die Angriffsmöglichkeit nachzuvollziehen und nutzbar zu machen. Der britische Antivirushersteller Sophos meldet nun die Entdeckung des ersten Schädlings, der auf diesem Wege eingeschleust werden soll.
Der Schädling kann zum Beispiel als PDF-Datei im Anhang einer Mail herein kommen. Wird diese Datei im Adobe Reader geöffnet, erscheint eine Dialogbox, die als Warnung gedacht ist. Der Programmierer des Schädlings hat jedoch die von Stevens angedeutete Möglichkeit genutzt, den angezeigten Hinweistext zu manipulieren. Dieser besagt nun (Tippfehler eingeschlossen), die Datei sei beschädigt. Um sie zu reparieren, möge man auf "Open" klicken. Folgt der Anwender diesem Hinweis, wird eine Datei ActiveX.exe im System32-Verzeichnis von Windows abgelegt und gestartet.
Bereits in der letzten Woche hatte Jeremy Conway demonstriert, dass die Designschwäche der PDF-Spezifikation die Erstellung eines Wurms ermöglicht, der vorhandene PDF-Dateien infizieren kann. Adobe will heute Sicherheits-Updates für Adobe Reader und Acrobat veröffentlichen.
Quelle : www.tecchannel.de
-
Antivirenhersteller berichten von weiteren Versuchen Krimineller, mit präparierten PDF-Dokumenten Windows-PCs mit Malware zu infizieren. Erst kürzlich waren Dokumente mit dem ZeuS-Bot verteilt worden, nun steckt ein Wurm drin.
Durch die Funktion "Launch Actions/Launch File" lassen sich in PDFs eingebettete Skripte oder EXE-Dateien starten. Der Adobe Reader fragt zwar beim Anwender nach, ob dieser dem Start der Datei zustimmt, allerdings lassen sich Teile des Warndialogs so gestalten, dass der Anwender keinen Verdacht schöpft, es geschehe gerade etwas Ungewolltes.
Aktuell berichtet unter anderem IBMs X-Force von Spam-Mails, die vorgeben, eine Anleitung zur Neukonfiguration des Mailkontos zu enthalten:"Setting for your mailbox are changed." Der Adobe Reader zeigt zwar eine Warnung beim Öffnen des beigefügten PDF-Dokumente an, allerdings dürften Anwender ihr Augenmerk nur auf den harmlosen Hinweis "Click the "open" button to view this document" richten und arglos "OK" klicken. Das führt jedoch dazu, dass das PDF ein VBScript ausführt, dass die Datei game.exe auf den Rechner schreibt und startet.
Die Datei enthält den Wurm Win32/Auraax. Auraax installiert auch noch ein Rootkit und versucht sich im Anschluss auf angeschlossene Speichermedien wie USB-Sticks zu schreiben. Zwar erkennen die meisten Antivirenprogramme den Schädling, Vorsorge ist aber besser als Nachsorge. Deshalb empfiehlt es sich im Reader unter Bearbeiten/Voreinstellungen/Berechtigungen die Option "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" zu deaktivieren – standardmäßig ist sie aktiviert. Grundsätzlich ist auch der Foxit-Reader für solche Angriffe anfällig. Der warnt zwar auch, eine Option zum Abschalten der Launch-Funktion gibt es aber nicht.
Adobe selbst stuft das Sicherheitsproblem aufgrund des Warndialoges im Reader nicht als kritisch ein. Nach Ansicht von Adobe handelt es sich nämlich eigentlich um eine nützliche Funktion, die nur durch den falschen Umgang zum Problem werde.
Quelle : www.heise.de
-
"Microsoft, bitte baut einen einfachen PDF-Reader in Windows ein" – mit dieser ungewöhnlichen Bitte wendet sich der F-Secure-Mitarbeiter Sean Sullivan an den Windows-Hersteller. Ein einfacher Viewer wie in Mac OS X würde vollkommen ausreichen. Anlass des Ersuchens seien die ständig neuen Sicherheitslücken im Adobe Reader – oft aufgrund zusätzlicher Optionen, die man für das einfache Anschauen eines Dokuments gar nicht benötige, beispielsweise die /launch-Funktion, die Unterstützung von JavaScript und die Fähigkeit Audio- und Videodateien abzuspielen.
Ein PDF-Betrachter nach dem Standard PDF/A würde laut Sullivan vollkommen ausreichen. In PDF/A ist nämlich die Unterstützung der oben genannten Optionen explizit verboten. Sullivan spekuliert zwar darüber, dass eine Microsoft-Entwicklung wegen der Patentnutzung Lizenzzahlungen nach sich ziehen würde, allerdings ermöglichen Adobes Lizenzbedingungen für Entwickler seit längerem die kostenlose Nutzung der Patente.
Microsoft müsste den Viewer nach Sullivans Ansicht nicht einmal in Windows fest verankern, man könne ihn ja separat zum Herunterladen anbieten. Einen ähnlichen Weg ging Microsoft bereits mit Office, um Dokumente als PDF abzuspeichern. Das notwendige Add-in ließ sich von den Microsoft-Seiten nach Freigabe des PDF-Standards nachinstallieren.
Sullivans frommer Wunsch lässt jedoch außer Acht, dass auch abgespeckte PDF-Viewer Sicherheitslücken aufweisen. Insbesondere für das exemplarisch angeführte "PDF Preview" unter Mac OS X hat der Hacker und Pwn0wn-Gewinner Charlie Miller kürzlich angekündigt, nicht weniger als 20 Sicherheitslücken veröffentlichen zu wollen. Da auch alternative PDF-Viewer wie Foxit immer wieder Schwachstellen aufweisen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2009 sogar darüber nachgedacht, ob es sinnvoll ist, einen eigenen, sicheren PDF-Viewer zu entwickeln.
Quelle : www.heise.de
-
Die Sicherheits-Experten von F-Secure warnen vor Spam-Mails mit PDF-Anhang.
Mit einer neuen Spam-Welle gehen Internet-Kriminelle wieder auf Jagd. Dabei nutzen die Bösewichte nicht die 0-Day-Schwachstelle in Adobe Flash Player aus. Vielmehr versuchen sie laut F-Secure die PDF-Start-Funktion zu missbrauchen. F-Secure erkennt den Schadcode als Exploit.PDF-Dropper.Gen.
Während sich die Absender-Adresse wohl zufällig ergibt, scheint das PDF-Dokument immer gleich zu sein. Es heißt resume.pdf hat die MD5-Summe cff871a36828866de1f42574be016bb8. Dieser Umstand könnte sich aber ändern. Ist der Angriff erfolgreich, installiert der Schadcode eine Alureon/DNSChanger-Trojaner.
Quelle : www.tecchannel.de
-
Adobe reagiert auf die nicht abreißende Welle immer neuer Attacken auf den Adobe Reader: Die kommende Version – wahrscheinlich Adobe Reader 10 genannt – wird eine Sandbox enthalten, die den Reader zu einem "weniger attraktiven Ziel für Angreifer" machen soll, erklärt Brad Arkin, der bei Adobe für die Sicherheit sämtlicher Software-Produkte verantwortlich zeichnet. Wann die offiziell "Adobe Reader Protected Mode" getaufte Technik konkret erscheinen wird, wollte Arkin allerdings nicht bekannt geben.
Wichtigste Funktion der standardmäßig aktiven Sandbox ist es, Schreibzugriffe aus dem Reader heraus auf das Windows-System zu unterbinden. Bislang konnten Angreifer nach erfolgreicher Übernahme des Readers – beispielsweise durch Buffer Overflows oder eingebettetes JavaScript – mit den gleichen Rechten auf dem System hantieren, wie sie auch der Reader hatte. Die Sandbox soll damit Schluss machen und Veränderungen an der Registry oder Dateien auf der Festplatte ebenso verhindern wie das Starten von Prozessen oder Zugriffe auf Named Pipes oder Named Shared Memory. Sämtliche PDF-Funktionen wie das Anzeigen von Bildern, 3D-Effekte, Ausführen von JavaScript oder Multimediainhalten, passieren in der Sandbox. Auch per Browser-Plug-in geöffnete PDFs laufen unabhängig von den Sicherheitseinstellungen des Browser im Reader-Prozess.
(http://www.heise.de/imgs/18/5/4/5/4/3/2/ad1.jpg-07a27576710d48aa.jpeg)
Der Broker Process entscheidet anhand festgelegter Regeln, welche Zugriffe der Adobe Reader auf das System bekommt.
Adobes Sandbox basiert technisch auf einer von Microsoft entwickelten Technik namens Microsoft Office Isolated Conversion Environment (MOICE), die bereits in Office 2010 zum Einsatz kommt. Ein sogenannter Broker Process verarbeitet sämtliche Schreibanfragen der Sandbox und entscheidet auf Basis von Regeln über deren Rechtmäßigkeit. Laut Adobe wurde der Programmcode des Broker Process und der Sandbox sehr schlank gehalten und unter anderem von externen Penetration-Testern geprüft. Bestätigt hat Arkin auch, dass Adobe darüber nachdenkt, durch die Sandbox auch Lesezugriffe abfangen zu lassen, um so das Auslesen von sensiblen Daten auf dem System zu unterbinden.
Doch selbst Adobe sieht die Sandbox nicht als Allheilmittel. So kann sie beispielsweise Attacken durch Phishing, Clickjacking, schwache Verschlüsselung in signierten Dokumenten oder nicht autorisierte Netzwerkzugriff nicht verhindern. Probleme kann es auch unter Windows XP und Windows Server 2003 geben, wenn der Anwender Hilfsmechanismen wie beispielsweise den Screenreader nutzt.
Der Hersteller verspricht, dass man etwa im Fall von Problemen den Protected Mode im Reader abschalten oder durch Registry-Einträge um neue Regeln erweitern kann. Administratoren in Unternehmen sollen dies bequem per Gruppenrichtlinie umsetzen können.
Quelle : www.heise.de
-
Es gibt Dinge, die mittlerweile so alltäglich sind, dass kaum jemand Notiz davon nimmt. Diese Erfahrung musste auch Sicherheitsexperte Charlie Miller machen, der in seinem Black-Hat-Vortag vor rund einer Woche auf ein klaffendes Sicherheitsloch im Adobe Reader aufmerksam gemacht hat. Nach seinem Vortrag stellte Miller fest: "Adobes Sicherheit ist so schlecht, dass [...] nicht eine einzige Person es getwittert hat. Traurig."
Adobe hat die Lücke zwischenzeitlich bestätigt. Sie betrifft die aktuelle Version des Adobe Readers für Windows, Mac OS X und Unix und lässt sich dazu nutzen, beliebigen Schadcode in ein System einzuschleusen und auszuführen. Ob auch ältere Versionen verwundbar sind, ist nicht bekannt. Der Hersteller arbeite bereits an einem Patch und prüft, ob die von Miller veröffentlichten Informationen (PDF-Datei) über die Schwachstelle ein außerplanmäßiges Update rechtfertigen oder der Fehler erst am nächsten Patchday behoben werde. Bislang gibt es keine Anzeichen, dass die Lücke ausgenutzt wird.
Gegenüber heise Security äußerte Brad Arkin, bei Adobe verantwortlich für Produktsicherheit und Datenschutz, bereits im Mai dieses Jahres die Überlegung, den dreimonatigen Updatezyklus von Adobe Reader und Acrobat auf 30 Tage zu verkürzen. Auch an der Verteilung der Patches über andere Kanäle, etwa Microsoft Update, sei man interessiert.
Eine andere PDF-Lücke sorgt seit Kurzem dafür, dass man iPhone, iPod touch und iPad durch eine präparierte PDF-Datei vom App-Store-Zwang befreien (jailbreaken) kann, indem man die Seite JailbreakMe.com direkt auf dem Gerät öffnet. Laut F-Secure ist der Adobe Reader hiervon jedoch nicht betroffen. Den Foxit-Reader könne man durch diese Lücke hingegen zumindest zum Absturz bringen.
Quelle : www.heise.de
-
Eines der wichtigsten Einfallstore für Angriffe sind PDF-Reader von Adobe. Didier Stevens erklärt in einem E-Book, wie solche gefährlichen PDF-Dokumente erkannt werden können. Ein normaler ASCII-Editor reicht dazu aus.
Auf gut 23 Seiten in englischer Sprache fasst Didier Stevens die wichtigsten Hinweise zusammen, die auf eine schädliche Datei im PDF-Format hinweisen. Er schaut sich dabei typische Methoden an, die Angreifer nutzen, um Schadcode in PDF-Dateien zu verstecken. PDF-Dateien sind mittlerweile ein wichtiges Werkzeug für Angreifer geworden, denn der Adobe Reader genießt eine hohe Verbreitung unter Nutzern, egal ob sie unter Windows, Mac OS X oder Linux arbeiten.
Verschiedene Werkzeuge helfen beim Analysieren von potenziell schädlichen PDF-Dateien. Das einfachste ist ein Hex-Editor. Das bedeutet allerdings viel Handarbeit und so führt Stevens den Leser an das Skript PDFiD heran, das den Scanprozess erleichtert. Das Python-Skript erkennt zum Beispiel, ob der PDF-Autor Flash oder Javascript in die Datei eingebunden hat. PDFiD kann PDF-Dateien auch entschärfen.
Stevens erklärt grob, wie das PDF-Format aufgebaut ist, damit gute Teile des Dokumentenbeschreibungsformats von schlechten Teilen unterschieden werden können. Zudem gibt er Tipps, wie eine Testumgebung für eine PDF-Datei aufgebaut werden sollte, schließlich soll die Datei nicht versehentlich ausgeführt werden. Besonders problematisch: Mit dem Adobe Reader werden in das System Komponenten installiert, die es möglicherweise erlauben, PDF-Dateien und den integrierten Schadcode auszuführen, ohne dass der Nutzer klicken muss. Einige dieser Dienste arbeiten mit Systemrechten.
Laut dem Internet Storm Center behandelt das E-Book nicht alle Angriffsmöglichkeiten. Vor allem das Tarnen des Schadcodes in dem Dokument wird nicht vollständig betrachtet. Stevens erklärt dennoch in verständlichen Beispielen viele Wege, wie ein PDF-Autor versucht, eine PDF-Datei möglichst harmlos wirken zu lassen. Schaut ein Nutzer zur Analyse in eine PDF-Datei in einem Editor und sieht solche Tarnmechanismen, wird die Datei erst recht verdächtig. Jeder, der an der Analyse von Schad-PDFs interessiert ist, findet in dem Dokument einen guten Anfang, um genau solche Hinweise zu entdecken.
Das E-Book befindet sich als gepackte PDF-Datei in Stevens Blog (http://blog.didierstevens.com/2010/09/26/free-malicious-pdf-analysis-e-book/).
Quelle : www.golem.de
-
Zwei Schwachstellen im freien PDF-Reader xpdf lassen sich einem Bericht von Red Hat zufolge ausnutzen, um ein System via manipulierter PDF-Dokumente zu kompromittieren. Die Probleme beruhen auf einem nicht initialisierten Zeiger und einem Array-Index-Fehler.
Üblicherweise zieht ein Problem in xpdf einen ganzen Rattenschwanz (https://www.redhat.com/security/data/cve/CVE-2010-3702.html) weiterer verwundbarer Anwendungen nach sich, die auf dem xpdf-Code aufbauen, dazu gehören unter anderem poppler, CUPS, gpdf und KPDF. Red Hat macht allerdings keine konkreten Angaben zu betroffenen Versionen. Ob der Dokumentenbetrachter Evince, der auf poppler zurückgreift, ebenfalls betroffen ist, ist unbekannt.
Der Distributor hat aber für alle genannten Produkte aktualisierte Pakete zur Verfügung gestellt. Die poppler-Entwickler haben nach Angaben des Sicherheitsdienstleister die Lücken immerhin in ihrem Repository vor drei Wochen geschlossen. Bei den anderen Produkten ist der Status derzeit unklar. Sofern die Pakete anderer Distributoren betroffen sind, dürften diese bald mit Updates nachziehen.
Quelle : www.heise.de
-
Die Entwicker von poppler haben die Fehler und weitere offenbar in der offiziellen Version 0.14.4 (http://poppler.freedesktop.org/poppler-0.14.4.tar.gz) behoben.
Quelle : www.heise.de