Sicherheitslücke in Xpdf entdeckt

Weitere Programme von Fehler betroffen

Der freie PDF-Betrachter Xpdf enthält eine kritische Sicherheitslücke, durch die Angreifer Programmcode auf einem System ausführen können. Da andere Projekte den Xpdf-Code nutzen, sind beispielsweise auch KDE und CUPS von dem Fehler betroffen.

Artikel veröffentlicht am , Julius Stiebert

Der Fehler steckt in der Funktion "StreamPredictor::StreamPredictor()" in der Datei xpdf/Stream.cc, meldet Secunia. Mit einer manipulierten PDF-Datei können Angreifer einen Pufferüberlauf in dieser Funktion erzeugen und in Folge dessen beliebigen Programmcode auf dem System ausführen. Die Sicherheitslücke wurde für Xpdf 3.02 gemeldet, steckt aber unter Umständen auch in anderen Programmversionen. Ein Quellcodepatch auf die Version 3.02pl1 wurde bereits veröffentlicht.

Stellenmarkt
  1. Sachbearbeiterin / Sachbearbeiter (w/m/d) im Referat SZ 14 Fachgremienarbeit für Prüf- und ... (m/w/d)
    Bundesamt für Sicherheit in der Informationstechnik, Freital bei Dresden
  2. Projektleitung Digitalisierung (w/m/d)
    Kommunales Center für Arbeit - Jobcenter, Gelnhausen
Detailsuche

Da andere Programme ebenfalls auf den Code des Xpdf-Projektes zurückgreifen, steckt die Sicherheitslücke auch in Kpdf und KOffice, wobei alle Versionen seit KDE 3.2 betroffen sein sollen. Die KDE-Entwickler haben ebenfalls Patches für die Quellen veröffentlicht. CUPS und Poppler etwa nutzen ebenfalls Xpdf-Teile und sind damit auch betroffen.

Red Hat hat bereits Updates für verschiedene betroffene Anwendungen in seiner Linux-Distribution veröffentlicht, die anderen Distributoren sollten in Kürze nachziehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Plugin-Hybride
Endet die Förderung trotz höherer Reichweiten?

Die Plugin-Hybride der Mercedes C-Klasse sollen elektrisch mehr als 100 km weit kommen. Doch die Ampelkoalition könnte die umstrittene Förderung streichen.
Von Friedhelm Greis

Plugin-Hybride: Endet die Förderung trotz höherer Reichweiten?
Artikel
  1. NDR und Media Broadcast: Fernsehen über 5G wird breit ausgestrahlt
    NDR und Media Broadcast
    Fernsehen über 5G wird breit ausgestrahlt

    Fernsehen kann auch über 5G laufen. Auf 578 MHz kann das jetzt ausprobiert werden. NDR und Media Broadcast machen es möglich.

  2. Kursabsturz: Teamviewer-Chef spricht über schwere hausgemachte Fehler
    Kursabsturz
    Teamviewer-Chef spricht über schwere hausgemachte Fehler

    Die vielen neuen Mitarbeiter seien nicht richtig eingearbeitet worden. Und die Ziele von Teamviewer seien zu hochgesteckt gewesen, sagt Oliver Steil.

  3. Staatstrojaner: Journalist der New York Times mit Pegasus gehackt
    Staatstrojaner
    Journalist der New York Times mit Pegasus gehackt

    Nach mehreren Versuchen wurde ein Journalist der New York Times mit dem NSO-Trojaner Pegasus infiziert. Schützen konnte er sich nicht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 in Kürze bestellbar • Speicherprodukte von Sandisk & WD zu Bestpreisen (u. a. Sandisk SSD Plus 2TB 140,99€) • Sapphire Pulse RX 6600 497,88€ • Apple MacBook Pro 2021 erhältlich ab 2.249€ • EA-Spiele für alle Plattformen günstiger • Samsung 55" QLED 699€ [Werbung]
    •  /