Sicherheitslücke in Evince 3.24.x erlaubt Ausführung von Code

Sicherheitslücke in Evince 3.24.x erlaubt Ausführung von Code

Vorsicht vor Comics

Tim Schürmann
14.07.2017 Der zur Desktop-Umgebung Gnome gehörende und auf vielen Distributionen standardmäßig zum Einsatz kommende Dokumentenbetrachter Evince besitzt eine Sicherheitslücke. Über manipulierte Comic-Bücher lässt sich beliebiger Code einschmuggeln.

Comic-Bücher mit der Endung „.cbt“ sind mit „tar“ gepackte Archive. Evince öffnet diese Comic-Bücher, indem es zunächst mit „tar“ die Dateien im Archiv entpackt. Dabei übergibt es einfach die Dateinamen ungeprüft an das Archivprogramm. Mit einem geschickt aufgebauten Dateinamen kann ein Angreifer so „tar“ dazu missbrauchen, beliebige Shell-Befehle auszuführen. Anfällig sind laut dem entsprechenden CVE-Eintrag Evince-Versionen der Reihe 3.24.x.

Die Entwickler haben die Sicherheitslücke mittlerweile geschlossen, so dass die neue Version in Kürze über die Updates der Distributionen eintrudeln sollten.

Ähnliche Artikel

Kommentare

Aktuelle Fragen

kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 4 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...
WLan mit altem Notebook funktioniert nicht mehr
Stefan Jahn, 22.08.2017 15:13, 0 Antworten
Ich habe ein altes Compaq-6710b Notebook mit Linux Mint Sonya bei dem WLan neulich noch funktioni...
Würde gerne openstreetmap.de im Tor-Browser benutzen, oder zu gefährlich?
Wimpy *, 21.08.2017 13:24, 2 Antworten
Im Tor-Netzwerk (Tor-Browser) kann ich https://www.openstreetmap.de/karte.html# nicht nutzen....
Samsung VG-KBD1500 - Bluetooth-Tastatur mit Touchpad mit Xubuntu 16.04.2 LTS
Linux- & BSD-UserGroup im Weserbergland, 16.08.2017 19:16, 0 Antworten
Bin grad mit "meinem Latein am Ende" darum hier mal so in den Raum geworfen. Samsung VG-KBD1500 -...