The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимости в Xpdf, FFmpeg, Mplayer, CUPS и Solaris

14.10.2010 00:10

Несколько новых уязвимостей:

  • В Xpdf и основанных на его базе продуктах (например в KPDF и Poppler) найдены две уязвимости, приводящие к выполнению кода злоумышленника при открытии специально оформленного PDF-документа;
  • В FFmpeg (libavcodec) и Mplayer найдена уязвимость, позволяющая выполнить код злоумышленника при открытии специально оформленных FLI или FLC файлов. Исправление пока доступно только в Git-репозитории проектов;
  • В утилите pdftops из состава системы CUPS, найдена уязвимость, приводящая к выполнению кода злоумышленника при попытке преобразования в PostScript специально оформленного PDF-документа;
  • В Solaris устранено 11 уязвимостей, 6 из которых позволяют осуществить отказ в обслуживании, 3 - получить доступ к закрытым данным и 2 - выполнить код локального злоумышленника из-за ошибки в компонентах "Scheduler" и "Live Upgrade".


Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/28276-xpdf
Ключевые слова: xpdf, dpf, solaris, mplayer, ffmpg, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (16) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Sunder (ok), 00:27, 14/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А разве Foxit Reader 4.2 есть под Nix или он OpenSource ?
    Как то странно он затесался :)
     
     
  • 2.3, KroArtem (ok), 00:50, 14/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Есть унылая версия Foxit Reader 1.1 Build 20090810 for Desktop Linux, но это, конечно же, не то.
    Но с другой стороны, по сравнению с тем же абоб reader, они быстро исправляют уязвимости. (в версии под win)
     

  • 1.2, б.б. (?), 00:31, 14/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В FFmpeg (libavcodec) и Mplayer найдена уязвимость, позволяющая выполнить код злоумышленника при открытии специально оформленных FLI или FLC файлов. Исправление пока доступно только в Git-репозитории проектов;

    Пока в Вилларибо ждут скорых обновлений в репозитории, в Виллобаджо никто и не почешется обновить свои портабельные сборочки.

    Только вот беда, не смотрит нонче народ FLI и FLC, разве что ролики с любимых досовских игр посмотреть и поностальгировать-поплакать.

     
     
  • 2.8, Sly (??), 10:49, 14/10/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всвязи в обнаружением уязвимости, есть опасность что будут смотреть чаще.
    .. причём, именно "специально оформленные".
     
  • 2.12, User294 (ok), 14:25, 14/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Пока в Вилларибо ждут скорых обновлений в репозитории, в Виллобаджо никто и не почешется
    > обновить свои портабельные сборочки.

    Не страшно, подумаешь, пачку троянов очередных словят. Виндузятникам не привыкать, если вы про винды.

    > Только вот беда, не смотрит нонче народ FLI и FLC

    Так будут смотреть :).  "Скачайте у нас крутую анимацию! Бесплатно!"

     

  • 1.4, Анонимный (?), 02:16, 14/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Каждая программа должна выполняться с минимальными привилегиями!
    Xpdf нужен доступ только на чтение pdf файлов, больше ничего, с остальными - аналогично.
    Нужно допилить какой нибудь apparmor под это дело.
     
     
  • 2.9, h31 (ok), 11:23, 14/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Xpdf нужен доступ только на чтение pdf файлов
    >при открытии специально оформленного PDF-документа
     
     
  • 3.10, Аноним (-), 11:28, 14/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>Xpdf нужен доступ только на чтение pdf файлов
    >>при открытии специально оформленного PDF-документа

    Человек подразумевал, что запущенный после хака код, сможет только PDF-файлы открывать.

     
  • 2.13, User294 (ok), 14:26, 14/10/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Xpdf нужен доступ только на чтение pdf файлов,

    И как это реализовать на практике? Ну есть вот у юзера дира даунлоадов допустим. И там не только пдфники, как минимум.

     
     
  • 3.14, zazik (ok), 14:41, 14/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> Xpdf нужен доступ только на чтение pdf файлов,
    > И как это реализовать на практике? Ну есть вот у юзера дира
    > даунлоадов допустим. И там не только пдфники, как минимум.

    На практике - не знаю. Но теоретически ты говоришь, что вот эта софтина(Xpdf) может только читать и, в случае эксплоита, Xpdf сможет только читать, писать ничего не сможет. И это не права на папки/файлы.

     
  • 3.15, ram_scan (?), 14:56, 14/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> Xpdf нужен доступ только на чтение pdf файлов,
    > И как это реализовать на практике? Ну есть вот у юзера дира
    > даунлоадов допустим. И там не только пдфники, как минимум.

    apparmor, selinux... тысячи их.


     
     
  • 4.16, Анонимный (?), 14:22, 15/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Именно! У каждой програмули должен быть профиль. Можно сделать проще, на основе какого нибудь apparmor'а, например зашивать профиль в бинарник, т.е. программа при запуске будет сама резать себе права без возможности их поднятия.
    Для того же Xpdf это будет только одно право - читать файлы, даже сеть не нужна, т.е. и ботнет "на pdf-ках" не сделаешь.
     

  • 1.5, maxkit (ok), 03:55, 14/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А всё-таки интересно, какой же должна быть ошибка, чтобы плеер выполнял код злоумышленника.
     
     
  • 2.6, Аноним (-), 07:56, 14/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    да то же, банальное, переполнение буфера.
     
     
  • 3.7, zazik (ok), 09:30, 14/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    При обработке тэгов, например.
     

  • 1.11, Вова (?), 14:12, 14/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    что за униталайзед пойнтер, который потенциально может привести к выполнению кода? нет ли  у кого ссылки на  чейнджесет под рукой?
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру