Se ha anunciado la existencia de una vulnerabilidad en KDE por el procesamiento realizado por Ghostscript para la visualización de archivos PostScript (PS) y PDF de forma que puede llegar a permitir a un atacante la ejecución de comandos arbitrarios.
La vulnerabilidad, que afecta a las versiones KDE 2 y KDE 3 hasta la KDE 3.1.1, permitirá a un atacante la ejecución de cualquier comando incluido en un archivo PostScript o PDF maliciosamente creado. Los comandos se ejecutarán bajo los privilegios de la cuenta de usuario de la víctima cuando esta el archivo o cuando navegue a un directorio que contenga el archivo malicioso y se tenga activa la previsualización de documentos. El ataque podrá lanzarse de forma remota mediante el envío del archivo en un e-mail o como parte de una página web.
Las aplicaciones afectadas se han corregido en KDE 3.0.5b y KDE 3.1.1a.
KDE 3.0.5b puede descargarse desde:
http://download.kde.org/stable/3.0.5b/
KDE 3.1.1a está disponible en:
http://download.kde.org/stable/3.1.1a/
La actualización del paquete KDEGraphics y asociados a la versión 2.2.2-6.11 también corrige el problema.
antonior@hispasec.com
Más información:
KDE Security Advisory: PS/PDF file handling vulnerability
http://www.kde.org/info/security/advisory-20030409-1.txt
Deja un comentario