Xpdf on suosittu Unix- ja Linux-ympäristöissä käytössä oleva pdf-tiedostojen käsittelyyn käytetty avoimen lähdekoodin ohjelmisto. Xpdf-ohjelmistosta on löydetty useita puskuriylivuotohaavoittuvuuksia, kertoo Cert-Fi.
Haavoittuvuuksia voidaan hyödyntää houkuttelemalla käyttäjä avaamaan tietyllä tavalla muokattu pdf-tiedosto, joka voidaan toimittaa käyttäjälle esimerkiksi sähköpostitse tai www-sivuston välityksellä.
Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä omia komentojaan järjestelmään kirjautuneen käyttäjän oikeuksilla.
Xpdf 3.01 sekä sitä edeltävät versiot ovat alttiita haavoittuvuudelle. Lisäksi ohjelmistot, jotka sisältävät Xpdf-ohjelmiston lähdekoodia, kuten Kpdf (KDE pdf), CUPS (Common UNIX Printing System) ja Gpdf (Gnome pdf) voivat olla haavoittuvia.
Xpdf-ohjelmisto tulee päivittää versioon 3.01pl1.