17.04.2009 10:46
Alert! Zahlreiche kritische Lücken in xpdf beseitigt [Update]
Ein Update für den freien PDF-Viewer xpdf behebt zahlreiche Schwachstellen, von denen sich einige zum Einschleusen und Ausführen von Code ausnutzen lassen. Ursache der Probleme sind Buffer Overflows und andere Fehler im JBIG2-Decoder, wie sie kürzlich auch die Produkte von Adobe aufwiesen. Die Fehler lassen sich durch präparierte PDF-Dokumente provozieren. Betroffen ist xpdf 3.x
Der Linux-Distributor Red Hat listet in seinem Fehlerbericht insgesamt zehn Schwachstellen in xpdf auf, wovon sieben die Infektions eines PCs ermöglichen, drei führen nur zum Absturz der Anwendung. Das offizielle Update Xpdf 3.02pl3 des Herstellers Foolab behebt die Fehler. Zusätzlich steht ein Patch bereit. Die Linux-Distributoren geben ebenfalls aktualisierte Pakete heraus oder bereiten dies vor.
Da auch Anwendungen wie KOffice und poppler Teile des xpdf-Codes nutzen, könnten auch diese verwundbar sein. Bislang gibt es jedoch noch keine Meldungen dazu.
[Update]Die Linuxdistributoren verteilen nun auch aktualisierte Pakete für KPDF und poppler.[/Update]
- xpdf security update, Bericht von Red Hat
- Lücken in Unix-Versionen des Adobe Reader und Acrobat geschlossen, Bericht auf heise Security
- kdegraphics security update, Bericht von Red Hat
(Daniel Bachfeld)
/
(dab)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
