Im Open-Source-PDF-Viewer Xpdf für Linux und Windows stecken acht Schwachstellen. Angreifer könnten sie ausnutzen, um unter anderem Denial-of-Service-Angriffe durchzuführen und vertrauliche Informationen abzufangen.
Das CERT des BSI (CERT-Bund) warnt in einem Sicherheitshinweis vor den Schwachstellen und stuft die von ihnen ausgehende Gefahr insgesamt als "hoch" ein. Eine gefixte Version ist bislang nicht verfügbar. Somit sollten Nutzer des Viewers den Sicherheitshinweis genau studieren und erwägen, den Viewer vorläufig nicht mehr zu verwenden.
Proof-of-Concept-Code verfügbar
Der Sicherheitshinweis des CERT-Bund enthält Links zur National Vulnerability Database (NVD), die die Schwachstellen jeweils unter einer CVE-Kennung erfasst. Die NVD nennt nur für eine der Schwachstellen einen CVSS-v3-Score, der lediglich bei 5.5 ("medium") liegt. Allerdings haben die Entdecker der Schwachstellen – Mitarbeiter von Pangu Lab – in allen Fällen Proof-of-Concept-Code veröffentlicht, der Angreifern die Arbeit deutlich erleichtern könnte und so das Gefahrenpotenzial deutlich erhöht.
Pangu Lab hat die Schwachstellen im öffentlich verfügbaren Code der aktuellen Xpdf-Version 4.01.01 entdeckt. Ob und in welchem Umfang auch frühere Versionen des PDF-Betrachters verwundbar sind, ist unklar.
Release-Termin für abgesicherte Version unbekannt
Die Xpdf-Entwickler hat Pangu Lab mittels entsprechender Beiträge im Xpdf-Forum informiert. Diese stammen bereits von vergangenem Monat und wurden jeweils mit der Antwort versehen, dass man Fixes in die kommende Version aufnehmen werde.
Eine Anfrage von heise Security bezüglich des gelanten Release-Termins blieb bislang unbeantwortet.
Quelle: Xpdf: CERT-Bund warnt vor ungepatchten Schwachstellen in freiem PDF-Viewer | heise online