Desbordamiento de búfer en Kpdf versiones 3.2 hasta 3.2.3 y 3.3.x

El visualizador de documentos pdf que incluye KDE se ve afectado por
un problema de seguridad por el que un atacante remoto puede ocasionar
un desbordamiento de búfer en los sistemas afectados.

Xpdf es un visor PDF que funciona bajo X en plataformas UNIX, VMS y
OS/2. KDE es un entorno de escritorio gráfico e infraestructura de
desarrollo para sistemas Unix y Linux. La versión estable más reciente
de KDE en estos momentos es la 3.3.2 publicada el 8 de diciembre de
2004.

El problema en cuestión está relacionado con una vulnerabilidad dada
a conocer este mismo mes y que afecta a xpdf 3.0 y anteriores, con el
que comparte código y funciones Kpdf.

Para conseguir explotar esta vulnerabilidad el atacante deberá crear
un documento pdf manualmente que se encargue de aprovechar el fallo
y posteriormente convencer de que el usuario víctima lo ejecute.

En estos momentos existen parches que corrigen este problema y que se
pueden descargar en:

KDE 3.2.3 ftp://ftp.kde.org/pub/kde/security_patches:
6f345c4b89f0bc27522f5d62bfd941cd post-3.2.3-kdegraphics-2.diff

KDE 3.3.2 ftp://ftp.kde.org/pub/kde/security_patches:
0ac92868d3b84284e54877e32cde521f post-3.3.2-kdegraphics.diff

Más información:

kpdf Buffer Overflow Vulnerability
http://www.securiteam.com/unixfocus/6Z00M2KC0O.html

kpdf Buffer Overflow Vulnerability
http://www.kde.org/info/security/advisory-20041223-1.txt

Multiple Vendor xpdf PDF Viewer Buffer Overflow Vulnerability
http://www.securiteam.com/unixfocus/6U00T0AC0S.html

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

• View all posts by Hispasec →
• Blog