xpdf StreamPredictor堆溢出漏洞 CVE-2005-3192 CNNVD-200512-154
7.5
AV
AC
AU
C
I
A
发布:
2005-12-08
修订:
2018-10-19
Xpdf是便携文档格式(PDF)文件的开放源码浏览器。 多家厂商软件版本所捆绑的xpdf中存在堆溢出漏洞。Predictor流解析代码没有充分的验证输入。xpdf/Stream.cc的StreamPredictor::StreamPredictor函数从PDF文件中用户可控值读取numComps的值,然后在StreamPredictor函数中使用该值用于一系列的计算。攻击者可以使用特制的值强迫gmalloc调用分配最少的字节数,然后PDF文件的用户数据就可以覆盖所分配的内存位置,破坏堆内存。成功利用这个漏洞的攻击者可以导致拒绝服务或执行任意代码。
漏洞利用/PoC
当前有1条漏洞利用/PoC
受影响的平台与产品
当前有1条受影响产品信息
