martes, 15 de abril de 2003

Vulnerabilidad de tratamiento de archivos PS/PDF en KDE

Se ha anunciado la existencia de una vulnerabilidad en KDE por el procesamiento realizado por Ghostscript para la visualización de archivos PostScript (PS) y PDF de forma que puede llegar a permitir a un atacante la ejecución de comandos arbitrarios.

La vulnerabilidad, que afecta a las versiones KDE 2 y KDE 3 hasta la KDE 3.1.1, permitirá a un atacante la ejecución de cualquier comando incluido en un archivo PostScript o PDF maliciosamente creado. Los comandos se ejecutarán bajo los privilegios de la cuenta de usuario de la víctima cuando esta el archivo o cuando navegue a un directorio que contenga el archivo malicioso y se tenga activa la previsualización de documentos. El ataque podrá lanzarse de forma remota mediante el envío del archivo en un e-mail o como parte de una página web.

Las aplicaciones afectadas se han corregido en KDE 3.0.5b y KDE 3.1.1a.
KDE 3.0.5b puede descargarse desde:
http://download.kde.org/stable/3.0.5b/
KDE 3.1.1a está disponible en:
http://download.kde.org/stable/3.1.1a/

La actualización del paquete KDEGraphics y asociados a la versión 2.2.2-6.11 también corrige el problema.


Antonio Ropero
antonior@hispasec.com


Más información:

KDE Security Advisory: PS/PDF file handling vulnerability
http://www.kde.org/info/security/advisory-20030409-1.txt