Sicherheitslücke in Evince 3.24.x erlaubt Ausführung von Code

Sicherheitslücke in Evince 3.24.x erlaubt Ausführung von Code

Vorsicht vor Comics

Tim Schürmann
14.07.2017 Der zur Desktop-Umgebung Gnome gehörende und auf vielen Distributionen standardmäßig zum Einsatz kommende Dokumentenbetrachter Evince besitzt eine Sicherheitslücke. Über manipulierte Comic-Bücher lässt sich beliebiger Code einschmuggeln.

Comic-Bücher mit der Endung „.cbt“ sind mit „tar“ gepackte Archive. Evince öffnet diese Comic-Bücher, indem es zunächst mit „tar“ die Dateien im Archiv entpackt. Dabei übergibt es einfach die Dateinamen ungeprüft an das Archivprogramm. Mit einem geschickt aufgebauten Dateinamen kann ein Angreifer so „tar“ dazu missbrauchen, beliebige Shell-Befehle auszuführen. Anfällig sind laut dem entsprechenden CVE-Eintrag Evince-Versionen der Reihe 3.24.x.

Die Entwickler haben die Sicherheitslücke mittlerweile geschlossen, so dass die neue Version in Kürze über die Updates der Distributionen eintrudeln sollten.

Ähnliche Artikel

Kommentare

Aktuelle Fragen

Internet abschalten
Karl-Heinz Hauser, 20.02.2018 20:10, 0 Antworten
In der Symbolleiste kann man das Kabelnetzwerk ein und ausschalten. Wie sicher ist die Abschaltu...
JQuery-Script läuft nicht mit Linux-Browsern
Stefan Jahn, 16.02.2018 12:49, 2 Antworten
Hallo zusammen, ...folgender goldener Code (ein jQuery-Script als Ergebnis verschiedener Exper...
XSane-Fotokopie druckt nicht mehr
Wimpy *, 30.01.2018 13:29, 0 Antworten
openSuse 42.3 KDE 5.8.7 Seit einem Software-Update druckt XSane keine Fotokopie mehr aus. Fehler...
TOR-Browser stürzt wegen Wikipedia ab
Wimpy *, 27.01.2018 14:57, 0 Antworten
Tor-Browser 7.5 based on Mozilla Firefox 52.8.0 64-Bit. Bei Aufruf von http: oder https://de.wi...
Wifikarte verhindert Bootvorgang
Maik Kühn, 21.01.2018 22:23, 1 Antworten
iwlwifi-7265D -26 failed to load iwlwifi-7265D -25 failed to load iwlwifi-7265D -24 failed to l...