Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

Lecteur de documents au format PDF (Portable Document Format) Xpdf version 3.00.

D'autres applications utilisant le code de Xpdf peuvent également être affectées (cups, gpdf, pdftohtml, kpdf, KOffice, ...).

Résumé

Une vulnérabilité du lecteur Xpdf permet l'exécution de code arbitraire à distance.

Description

Une vulnérabilité de type débordement de mémoire a été découverte dans la fonction Decrypt::makeFileKey2.

Un utilisateur mal intentionné peut exploiter cette vulnérabilité par le biais d'un document au format PDF habilement construit. Il est alors possible d'exécuter du code arbitraire à distance avec les privilèges de l'utilisateur ayant lancé le lecteur Xpdf.

Solution

Mettre à jour le lecteur Xpdf (cf. section Documentation).

Documentation