Thema: Lücken in zahlreichen PDF-Anwendungen

[SiLæncer]

Durch eine Sicherheitslücke im freien PDF-Reader xpdf können Angreifer die Systeme von Anwendern kompromittieren. Der Fehler findet sich in der Funktion doImage() des Moduls Gfx.cc, die beim Einlesen manipulierter PDF-Dokumente Teile des Stacks überschreibt. Ein Angreifer kann so eigenen Code in das System einbringen und mit den Rechten des Anwenders ausführen. Nach Angaben von iDEFENSE ist der Fehler in Version 3.00 vorhanden, in 3.00pl2 ist das Problem beseitigt. Die Linux-Distributoren haben bislang noch keine neuen Pakete herausgegeben.

Quelle : www.heise.de

[SiLæncer]

iDEFENSE hat einen weiteren Fehler im freien PDF-Reader xpdf gemeldet, mit dem Angreifer das System eines Opfers unter ihre Kontrolle bringen können. Präparierte PDF-Dokumente mit bestimmten "/Encrypt /Length"-Attributen provozieren in der Funktion Decrypt::makeFileKey2 einen Buffer Overflow beim Einlesen. Damit lässt sich Code auf den Stack schreiben und mit den Rechten des Anwenders ausführen.

Die Funktion dient zur Verarbeitung von geschützten PDF-Dokumenten. Betroffen ist Version 3.0 bis 3.0pl2 und wahrscheinlich auch frühere Versionen. Der Patch 3.00pl3-patch schließt die Lücke. Bereits im Dezember hatte iDEFENSE eine Lücke in xpdf gemeldet, woraufhin die Linux-Distributoren neue Pakete herausgeben mussten.

Quelle : www.heise.de

[SiLæncer]

Die PDF-Betrachter Xpdf sowie kpdf, deren Komponente pdf2ps im CUPS-Drucker-Daemon häufig für die Aufbereitung von zu druckenden PDF-Dateien zuständig ist, lassen sich mit manipulierten PDF-Dateien aus dem Tritt bringen und ermöglichen so einen Denial-of-Service-Angriff. Ein Angreifer könnte einen CUPS-Server zum Absturz bringen, indem er eine präparierte PDF-Datei an diesen zum Drucken sendet, oder eine solche Datei an einen Mail-Empfänger schicken, dessen System beim Anzeigen des Dokuments zum Stillstand kommt.

Die Lücke besteht darin, dass eine möglicherweise vorhandene "loca"-Tabelle in einem PDF-Dokument nicht hinreichend auf ihre Gültigkeit überprüft wird. Diese Tabelle enthält Informationen zu den Glyphen eingebetteter True-Type-Schriften. Ist diese Tabelle defekt, versucht Xpdf die Informationen zu rekonstruieren, und füllt dabei den gesamten verfügbaren Plattenplatz im /tmp-Verzeichnis. Danach reagiert die Anwendung nicht mehr.

Für Xpdf gibt es keinen Workaround, auch ist ein Erscheinungstermin für einen Patch unbekannt. Zahlreiche Linux-Distributoren liefern jedoch aktualisierte Pakete aus, die den Fehler beheben. Das KDE-Entwickler-Team hält für kpdf ebenfalls Flicken parat.

Quelle und Links : http://www.heise.de/newsticker/meldung/62671

[SiLæncer]

Der freie PDF-Betrachter Xpdf enthält insgesamt vier Schwachstellen, die beim Betrachten manipulierter PDF-Dateien zu Heap-Overflows führen können. Wie aus den Advisories von iDefense hervor geht, kann es dadurch zur Ausführung von beliebigem Schadcode mit den Rechten des Benutzers beziehungsweise der übergeordneten Applikation kommen. Laut den Advisories sind alle Xpdf-Versionen einschließlich der aktuellen Version 3.01 von den Schwachstellen betroffen. Einen Source-Patch auf Version 3.01pl1 haben die Xpdf-Entwickler ebenso auf ihrem FTP-Server bereit gestellt wie vorkompilierte Binaries für Linux, Solaris und DOS/Win32. Die Linux-Distributoren dürften bald aktualisierte Pakete anbieten, die umgehend eingespielt werden sollten.

Die problematischen Code-Fragmente befinden sich nach Tests von heise Security ebenfalls in den Xpdf-basierten Quellen der aktuellen Versionen von GPdf, KPDF und der PDF-Bibliothek Poppler. Teile des Drucksystems Cups und der aktuelle PDF-Betrachter des Gnome-Projektes Evince bauen auf Poppler auf und dürften die Probleme somit ebenfalls geerbt haben. Bis entsprechende Patches und aktualisierte Pakete verfügbar sind, ist besondere Vorsicht beim Betrachten beziehungsweise Ausdrucken nicht vertrauenswürdiger PDF-Dokumente zu empfehlen.

Siehe dazu auch:

    * Multiple Vendor xpdf DCTStream Baseline Heap Overflow Vulnerability Fehlerreport von iDefense
    * Multiple Vendor xpdf DCTStream Progressive Heap Overflow Fehlerreport von iDefense
    * Multiple Vendor xpdf StreamPredictor Heap Overflow Vulnerability Fehlerreport von iDefense
    * Multiple Vendor xpdf JPX Stream Reader Heap Overflow Vulnerability Fehlerreport von iDefense

Quelle und Links : http://www.heise.de/newsticker/meldung/67056

[SiLæncer]

Die freie PDF-Software Xpdf überprüft in der Quellcode-Datei splash/Splash.cc die Dimensionen eingebetteter Vorschaubilder, so genannte Splash-Images, nicht ordnungsgemäß. Infolge dessen kann es bei der Verarbeitung manipulierter PDF-Dokumente in dem für die Splash-Bilder angeforderten Speicherbereich zu einem Heap-Overflow kommen. Dieser lässt sich nach Einschätzung des Sicherheitsdienstleisters FrSIRT zur Ausführung von beliebigem Schadcode nutzen.

Die Funktionen zur Verarbeitung von Splash-Bildern wurde erst in Xpdf 3.00 eingeführt. Ebenfalls betroffen sind alle Versionen einschließlich der aktuellen Version 3.01p1. Bisher wurde lediglich im Bugtracking-System von Red Hat ein ungeprüfter und inoffizieller Patch vorgeschlagen. Ein offizieller Patch existiert bisher offenbar noch nicht.

Erst vor kurzem wurden mehrere Lücken mit gleichen Auswirkungen in dem freien PDF-Tool behoben. Da es die Grundlage für viele andere PDF-Betrachter, Bibliotheken und Druckdienste bildet, dürften auch diese wieder von dem xpdf-Problem betroffen sein. Unter anderem basieren GPdf, KPDF, Evince, Poppler und Cups auf den Quellen von Xpdf. Beim Einsatz betroffener Programme ist also nachwievor besondere Vorsicht beim Betrachten und Drucken nicht vertrauenswürdiger PDF-Dokumente geboten.

Siehe dazu auch:

    * Xpdf "Splash.cc" Splash Images Handling Buffer Overflow Vulnerability, Advisory von FrSIRT


Quelle und Links : http://www.heise.de/security/news/meldung/69073

[SiLæncer]

"Er aber, Siddhartha, schuf. Und er warf sich ins Gras und weinte." Was anfängt wie eine Dichtung von Hermann Hesse entpuppt sich als nächste Generation von Spam-Mails. Derzeit kursieren sie massenhaft. Um die Spam-Filter auszutricksen, enthält der eigentliche Text der Spam-Mail zwar leicht wirre Phrasen, die lassen aber bei der Prüfung durch den Spam-Filter kaum Verdacht auf Junk-Mails aufkommen. Im Anhang steckt dann allerdings profanes Stock-Spam: In einem PDF-Dokument wird für Aktien der Firma Talktech geworben. Da mittlerweile auf jedem PC ein PDF-Reader installiert ist, dürfte es beim Öffnen des Dokuments keine Probleme geben. Und die Spam-Filter analysieren derzeit noch keine PDFs.

Angebliche Insider-Tipps in "Stock-Spams" sollen Privatanleger dazu verleiten, schnell zuzuschlagen.

Das Ziel der Auftraggeber derartiger Spam-Wellen ist klar: Sie kaufen Papiere zum günstigen Kurs, wollen den Preis der Aktie in die Höhe treiben und dann schnell ihren Gewinn mitnehmen. Das betroffene Unternehmen hat in der Regel mit solchen Manipulationsversuchen nichts zu tun. Dass Aktien-Spams die Kursverläufe tatsächlich beeinflussen können, zeigten Studien bereits Anfang des Jahres 2006.

Mit den PDF-Spam-Mails haben die Spammer ähnlich wie Ende des Jahres 2006 mit Bilder-Spams einen neuen Weg gefunden, die Filter auszutricksen. Die Bilder-Spams, deren GIFs sich ständig veränderten, waren nur schwer in den Griff zu bekommen. Allerdings sind die diesmal beigefügten PDF-Dokumente, abgesehen von Dateinamen, alle gleich. Anhand der identischen Prüfsumme sollten sich derartige Anhänge erkennen und ausfiltern lassen. Es ist aber damit zu rechen, dass die Spammer auch die PDFs demnächst dynamisch generieren werden.

Quelle : www.heise.de

[Jürgen]

Glücklicherweise zeigen E-Mailer PDFs (noch) nicht automatisch eingebunden an, denn sonst müsste man zusätzlich mit Sicherheits-Risiken rechnen.

Wenn ich nun, trotz aller Filterung, eine Mail mit absolut blödsinnigem Inhalt erhalte, warum sollte ich dann so dämlich sein, auch noch einen Anhang zu öffnen ? ? ?

Aber wahrscheinlich müsste man (mindestens) genau so dämlich sein, solche penny stocks dann auch noch zu kaufen...
Gier und Verstand vertragen sich eben nicht...

[Chrisse]

....
Aber wahrscheinlich müsste man (mindestens) genau so dämlich sein, solche penny stocks dann auch noch zu kaufen...
Gier und Verstand vertragen sich eben nicht...

Es war schon immer so: Gier frisst Hirn
aber das ist der Treibstoff des Systems. Es gibt 2 grundlegende Fakten die man beachten sollte:

1. Es schenkt Dir niemand etwas von größerem Wert, oder siehst Du einen Grund jemandem wildfremden einfach so Geschenke zukommen zu lassen?

2. Wenn Dir Geschäfte mit großen bis riesigen Gewinnchancen einfach so angeboten werden stellen sich die Fragen warum gerade Dir und warum macht der Anbieter das Geschäft nicht selbst???  -- ansonsten gilt Punkt 1

 

[SiLæncer]

Die KDE-Entwickler haben eine Sicherheitsmeldung zu einer Schwachstelle bei der Verarbeitung von präparierten PDF-Dateien herausgegeben. Öffnet ein Anwender eine solche Datei mit XPDF, kpdf, KOffice oder anderer Software, die Quellcode aus XPDF übernommen hat, kann ein Pufferüberlauf auftreten und fremder Programmcode zur Ausführung kommen.

Der Fehler beruht auf einem Ganzzahlüberlauf in der Funktion StreamPredictor::StreamPredictor(). Die Entwickler haben Quellcode-Patches für die betroffenen Software-Versionen bereitgestellt. Der Fehler betrifft XPDF 3.02 und möglicherweise vorhergehende Versionen, KDE 3.2.0 bis einschließlich 3.5.7 sowie KOffice 1.2.1 und neuere Fassungen.

Auch andere Programmpakete, die den fehlerhaften Code aus XPDF nutzen, enthalten die Schwachstelle. Red Hat hat inzwischen auch Softwareaktualisierungen für CUPS, gpdf und poppler herausgegeben, die diese Lücke schließen. Die anderen Linux-Distributoren dürften in Kürze ebenfalls aktualisierte Pakete veröffentlichen, die Anwender zügig einspielen sollten.

Siehe dazu auch:

    * kpdf/kword/xpdf stack based buffer overflow, Sicherheitsmeldung der KDE-Entwickler
    * cups security update, Fehlermeldung von Red Hat
    * gpdf security update, Fehlerbericht von Red Hat
    * poppler security update, Sicherheitsmeldung von Red Hat
    * Quellcode-Patch für XPDF
    * Quellcode-Patch für KDE 3.3.2 und neuer
    * Quellcode-Patch für KOffice 1.2.1 und neuer

Quelle und Links : http://www.heise.de/security/news/meldung/93616

[SiLæncer]

Nicht nur in Form verschwommener GIF- und JPG-Bildchen sowie als PDF- und Excel-Dateien verbreiten Spammer Aktien-Kauftipps, sondern neuerdings auch als MP3-Dateien. E-Mail-Anhänge mit Namen wie "elvis.mp3", "bspears.mp3" oder "loveyou.mp3" sollen Anwender dazu verleiten, das entsprechende Wiedergabeprogramm zu starten und sich in dürftiger Qualität (16 kbps), mit verfremdeter Stimme und in englischer Sprache vorgelesene Aktientipps anzuhören. Darüber hinaus scheinen die Dateien harmlos zu sein.

Die Anhänge sind jedoch mit etwa 150 Kilobyte deutlich größer als sonstige Spam-Mails, die meist weniger als ein Zehntel dessen transportieren, und belasten die Mailsysteme der Empfänger entsprechend stärker. Die von den Spamfallen der iX aufgefangenen, vertonten Mails enthalten außer dem Anhang keinen Inhalt und sind mit nichtssagenden Betreffzeilen wie "Fwd:", "(no subject)" oder dem Namen der vermeintlichen Musikdatei ausstaffiert. Sie gingen von vielen verschiedenen IP-Adressen aus, ein Hinweis darauf, dass die Urheber über ein größeres Botnetz verfügen.

Dass Videos zum Verschleiern von Spam-Inhalten herhalten müssen, dürfte nur eine Frage der Zeit sein. Dann werden aber selbst 150 Kilobyte pro Spam-Mail nicht mehr ausreichen.

Quelle : www.heise.de

[SiLæncer]

Internetnutzer erwartet eine neue Welle von Spam-Botschaften, die sich in MP3-Dateianhängen verbergen. Die Sounddateien enthalten vorgelesene Werbebotschaften und könnten in Zukunft rege Verbreitung finden.

Nach Ansicht des Internet-Dienstleisters Strato AG rollt eine neue Spam-Welle auf E-Mail-Anwender zu. Dabei handelt es sich um vorgelesene Werbebotschaften, die sich in MP3-Dateien verbergen. René Wienholtz, Vorstandsmitglied bei Strato, spricht bereits von einer bevorstehenden Epidemie. In der vergangenen Woche hätten die Versender der Werbe-Mails erstmals ihren digitalen Müll verbreitet, um die technischen Möglichkeiten auszuloten. In den Sound-Dateien wirbt eine verzerrte, schwer verständliche Stimme für eine US-Firma. Die Erzeuger dieser so genannten Aktien-Spams hoffen damit, den Kurs der Wertpapiere eines Unternehmes in die Höhe treiben zu können und daraufhin ihre Aktien zu verkaufen. Wienholtz weißt Vermutungen anderer Experten zurück, die den MP3-Spams nur geringe Chancen einräumen: „Die Spammer kennen sich mit der Technik aus - sie werden Wege finden, dass man den Text besser verstehen kann.“. Die individuelle Verzerrung der Dateien ermöglicht es den Versendern, die Filter der Mail-Anbieter teilweise zu umgehen und diese so an die Endanwender zustellen zu lassen.

Strato habe nach eigenen Aussagen bereits wirksame Filter im Einsatz, um das tägliche Volumen von 200 bis 250 Millionen E-Mails auch in Zukunft von unerwünschten Nachrichten säubern zu können. Laut Strato schade die Werbeflut den E-Mail-Anbietern ganz erheblich. Knapp 20 Prozent der von den Kunden gezahlten Gebühren werden für Spam-Abwehr aufgewendet. Nutzer von Gratiskonten hingegen müssen so in Zukunft mit noch mehr Werbe-Einblendungen rechnen. Wienholtz sieht ähnliche Entwicklungen auch bei anderen Mail-Anbietern. Die Kosten für Personal, Speicherplatz und Forschung werden durch unerwünschte Werbebotschaften immer weiter ansteigen. Zur Abwehr arbeite man bereits erfolgreich mit der Humboldt-Universität Berlin und dem Max-Planck-Institut zusammen.

Quelle : www.pcwelt.de

[SiLæncer]

Der Sicherheitsdienstleister Secunia hat in dem quelloffenen PDF-Viewer Xpdf mehrere Sicherheitslücken entdeckt, die Angreifern das Einschleusen von Schadcode ermöglichen. Dazu müssen Benutzer lediglich präparierte PDF-Dokumente mit der Software öffnen. Die Entwickler haben inzwischen reagiert und einen Quellcode-Patch veröffentlicht.

Die Fehler finden sich allesamt in der Datei Stream.cc der Xpdf-Quellen: In der Funktion DCTStream::readProgressiveDataUnit() kann beim Indexieren eines Arrays eine Speicherkorruption auftreten. Ein Ganzzahlüberlauf in DCTStream::reset() kann zu einem Pufferüberlauf auf dem Heap führen. Eine dritte Lücke in CCITTFaxStream::lookChar() kann ebenfalls zu einem heapbasierten Pufferüberlauf führen.

Die Fehler betreffen Xpdf 3.02pl1 und möglicherweise auch andere Versionen. Da Projekte wie kpdf oder KOffice Code von Xpdf verwenden, sind die Sicherheitslücken wahrscheinlich auch darin zu finden. Inzwischen haben die Xpdf-Entwickler einen Patch auf Version 3.02pl2 veröffentlicht, der die Schwachstellen korrigieren soll. Nutzer der Software sollten entweder den Quellcode patchen, das Programm neu kompilieren und installieren oder aktualisierte Pakete von ihrem Linux-Distributor einspielen, sobald sie verfügbar sind. Bis dahin sollten sie PDF-Dateien aus zweifelhaften Quellen nicht öffnen.

Siehe dazu auch:

    * Xpdf "Stream.cc" Multiple Vulnerabilities, Sicherheitsmeldung von Secunia
    * Download der aktuellen Xpdf-Quellen und der Patches

Quelle und Links : http://www.heise.de/security/news/meldung/98631/Patch-behebt-Sicherheitsluecken-in-Xpdf

[SiLæncer]

 Der Sicherheitsdienstleister Secunia warnt vor einer kritischen Lücke in Ghostscript, die sich durch speziell präparierte PDF-Dateien ausnutzen lasse. Ghostscript war ursprünglich ein quelloffener Postscript-Interpreter, lernte später jedoch auch den Umgang mit PDF-Dateien.
Anzeige

Beim Dekodieren von JBIG2-Streams in PDF-Dateien kann es zu einem Pufferüberlauf auf dem Heap kommen. Einen ähnlichen Fehler musste erst kürzlich Adobe im Adobe Reader beseitigen. Laut Secunia ist die aktuelle Ghostscript-Version 8.64 betroffen, eine fehlerbereinigte Version gibt es offenbar noch nicht. In der Fehlerdatenbank des Linux-Distributors Redhat gibt es allerdings bereits einen Patch, der hoffentlich bald in eine neue Version einfließen wird.

Siehe dazu auch:

    * Ghostscript jbig2dec JBIG2 Processing Buffer Overflow, Sicherheitsnotiz von Secunia

Quelle : www.heise.de

[SiLæncer]

Ein Update für den freien PDF-Viewer xpdf behebt zahlreiche Schwachstellen, von denen sich einige zum Einschleusen und Ausführen von Code ausnutzen lassen. Ursache der Probleme sind Buffer Overflows und andere Fehler im JBIG2-Decoder, wie sie kürzlich auch die Produkte von Adobe aufwiesen. Die Fehler lassen sich durch präparierte PDF-Dokumente provozieren. Betroffen ist xpdf 3.x

Der Linux-Distributor Red Hat listet in seinem Fehlerbericht insgesamt zehn Schwachstellen in xpdf auf, wovon sieben die Infektions eines PCs ermöglichen, drei führen nur zum Absturz der Anwendung. Das offizielle Update Xpdf 3.02pl3 des Herstellers Foolab behebt die Fehler. Zusätzlich steht ein Patch bereit. Die Linux-Distributoren geben ebenfalls aktualisierte Pakete heraus oder bereiten dies vor.

Da auch Anwendungen wie KOffice und poppler Teile des xpdf-Codes nutzen, könnten auch diese verwundbar sein. Bislang gibt es jedoch noch keine Meldungen dazu

    * xpdf security update, Bericht von Red Hat

Quelle : www.heise.de

[SiLæncer]

Mehrere PDF-Anwendungen weisen Sicherheitslücken auf, durch die Angreifer ein System mit Schädlingen infizieren können. So verursacht das Foxit-Plug-in (npFoxitReaderPlugin.dll) für den Webbrowser Firefox unter Windows beim Laden und Entladen bestimmter COM-Objekte ein Speicherleck, das sich vermutlich zum Einschleusen und Ausführen von Code über präparierte Webseiten ausnutzen lässt. Der Fehler wurde in der Version 3.1.1.0928 gefunden und zusätzlich für die aktuelle Version Foxit Reader 3.1.2.1013 (mit Firefox 3.5.3) bestätigt. Ein ähnlicher Fehler beim Laden von Objekten wurde kürzlich im Adobe Reader beseitigt. Für den Foxit-Reader gibt es indes noch kein Update.

Darüber hinaus ist für den freien PDF-Reader xpdf ein Patch erschienen, der vier Sicherheitsprobleme in der Version 3.02 beseitigt. Für eine auf einem Buffer Overflow und eine auf einer Null-Pointer-Dereferenzierung beruhende Lücke gibt es bereits Exploits. Üblicherweise zieht ein Problem in xpdf einen ganzen Rattenschwanz weiterer verwundbarer Anwendungen nach sich, die auf dem Code aufbauen, etwa poppler, CUPS , gpdf und KPDF.

In CUPS sollen die Lücken in der offiziellen Version 1.4.1 geschlossen sein. Für KPDF, poppler und gpdf gibt es noch keine offiziellen Updates. Allerdings hat der Linux-Distributor Red Hat neue Pakete für diese Anwendungen herausgegeben. Vermutlich ziehen die anderen Distributoren bald nach. Bis dahin sollten Anwender etwa unverlangt zugesandten PDF-Dokumenten misstrauisch gegenüberstehen und sie in alternativen PDF-Readern öffnen.

Quelle : www.heise.de