Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Poppler pageWidgets Accès Mémoire Non-initialisée

08/07/2008 12H19
Référence Secunia : SA30963 
Date de publication : 2008-07-08

Risque : Elevé. Niveau 4 sur 5.
Impact : DoS, Accès au système
Lieu : A distance


Solutions :
Non corrigée


Produit :
Poppler 0.x

Référence CVE :
CVE-2008-2950


Description :
Une vulnérabilité a été rapportée dans Poppler, qui pourrait être exploitée par des personnes malintentionnées afin de compromettre une application utilisant la librairie.

La vulnérabilité est causée du fait que le "Page" constructor leaving le "pageWidgets" object non initialisé sous des circonstances spécifiques. Cela pourrait être exploité pour potentiellement déclencher un appel à une adresse arbitraire quand l'objet est supprimé.

Ce problème pourrait être exploité par un attaquant distant afin de compromettre une machine vulnérable via un fichier PDF spécialement conçu.

La vulnérabilité est rapportée en version 0.8.4. Les autres versions pourraient également être affectées.


Solutions :
Ne pas ouvrir des fichiers non-fiables PDF avec applications en utilisant la librairie.


Vulnérabilité découverte par :

Felipe Andres Manzano, a rapporté via oCERT.

Référence :
http://www.ocert.org/advisories/ocert-2008-007.html




Veuillez noter : L'information sur laquelle est basée ce bulletin Secunia provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.