Se ha encontrado una vulnerabilidad en kpdf de KDE. Un atacante remoto podría ejecutar código arbitrario en el sistema víctima.
Un atacante podría crear un fichero PDF con un diccionario de catálogo especialmente manipulado o un atributo Pages también manipulado que, al ser cargado, haría que el visor entrase en un bucle infinito.
El fallo reside en el código xpdf (que es compartido por kpdf)
Se ha publicado la versión 3.5.6 que corrige el problema, también se han publicado las siguientes actualizaciones
Para KOffice 1.2.1:
ftp://ftp.kde.org/pub/kde/security_patches/koffce-xpdf-CVE-2007-0104.diff
Parche para KDE 3.3.2:
ftp://ftp.kde.org/pub/kde/security_patches/post-3.5.5-kdegraphics-CVE-2007-0104.diff
Para KDE 3.2.3:
ftp://ftp.kde.org/pub/kde/security_patches/post-3.2.3-kdegraphics-CVE-2007-0104.diff
laboratorio@hispasec.com
Más información:
KDE kpdf Bug Lets Remote Users Deny Service
http://securitytracker.com/alerts/2007/Jan/1017514.html
KDE Security Advisory: kpdf/kword/xpdf denial of service vulnerability
http://www.kde.org/info/security/advisory-20070115-1.txt
Deja una respuesta