DFN-CERT-2017-0174 Calibre: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora][Apple][Windows]

DFN-CERT-2017-0174 Calibre: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Calibre < 2.78.0 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows Red Hat Fedora 24 Red Hat Fedora 25 Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe speziell präparierter Buchdateien lesenden Zugriff auf Dateien eines Benutzers erhalten und somit Informationen ausspähen. Der Hersteller bietet die Version 2.78.0 als Sicherheitsupdate an. Für Fedora 24 und 25 stehen Sicherheitsupdates in Form des Pakets 'calibre-2.78.0-1' im Status 'testing' zur Verfügung. Patch: Calibre Download Webseite https://calibre-ebook.com/download

Patch:

Fedora Security Update FEDORA-2017-07d308fd81 (Fedora 25,
calibre-2.78.0-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-07d308fd81

Patch:

Fedora Security Update FEDORA-2017-efed73a87c (Fedora 24,
calibre-2.78.0-1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-efed73a87c

CALIBRE-2-78-0-A: Schwachstelle in Calibre ermöglicht das Ausspähen von
Informationen

Eine Schwachstelle in Calibre vor Version 2.78.0 existiert aufgrund der
Übernahme der Standardeinstellungen der Sicherheitspolitik in Qt Webkit
bezüglich der Funktion ‘XMLHttpRequest’, wodurch in Buchdateien
eingebettetem JavaScript der lesende Zugriff auf beliebige Dateien eines
Benutzers gestattet wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0174/

Calibre Download Webseite:
https://calibre-ebook.com/download

Fedora Security Update FEDORA-2017-07d308fd81 (Fedora 25,
calibre-2.78.0-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-07d308fd81

Fedora Security Update FEDORA-2017-efed73a87c (Fedora 24,
calibre-2.78.0-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-efed73a87c

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben