Összefoglaló
Egy sérülékenységet jelentettek az Xpdf alkalmazásban, amit rosszindulatú támadók kihasználhatnak az érintett rendszerek feltöréséhez.
Leírás
Egy sérülékenységet jelentettek az Xpdf alkalmazásban, amit rosszindulatú támadók kihasználhatnak az érintett rendszerek feltöréséhez.
A sérülékenységet egy egész szám túlcsordulásos hiba okozza a “StreamPredictor::StreamPredictor()” függvény az xpdf/Stream.cc fájlban. A hiba kihasználható puffertúlcsordulásos támadáshoz, ha az áldozat megnyit egy rosszindulatú PDF fájlt az Xpdf-ben.
A sérülékenység sikeres kihasználása lehetővé teszi tetszőleges kódok futtatását.
A sérülékenységet a 3.02-es verzióban jelentették, de más verziók is érintettek lehetnek.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Egyéb referencia: bugzilla.redhat.com
VENDOR:ftp://ftp.foolabs.com/pub/xpdf/xpdf-3.02pl1.patch
SECUNIA 26188
CVE-2007-3387 - NVD CVE-2007-3387
