Obrir un PDF és d’aquelles accions que ningú considera perilloses. Per això una injecció d’ordres en un visor de documents resulta tan incòmoda: n’hi ha prou amb fer doble clic al fitxer equivocat i, amb un parell de clics més dins del mateix document, l’atacant executa codi a la teva sessió. Això és el que arregla Debian amb l’avís DSA-6349-1 sobre l’Atril, el visor de PDF que ve per defecte a l’escriptori MATE.
Què falla exactament
El problema viu a la funció ev_spawn, dins de shell/ev-application.c. Aquesta funció engega processos a partir de dades del document, però no aplicava g_shell_quote als camps de destinació dels enllaços del PDF. Com que aquests camps els controla qui crea el fitxer, un PDF preparat pot colar arguments arbitraris a la línia d’ordres que l’Atril executa. La vulnerabilitat està catalogada com a CVE-2026-46529 i combina diverses debilitats clàssiques: injecció d’ordres (CWE-77), injecció d’arguments (CWE-88) i inclusió des d’una esfera de control no fiable (CWE-829).
La part que la fa seriosa és com s’aprofita. L’atacant construeix un fitxer poliglota: vàlid alhora com a PDF i com a llibreria compartida ELF. Quan la víctima clica un enllaç del document, l’Atril acaba carregant aquest mateix fitxer com a mòdul de GTK, i allà s’executa el codi de l’atacant. No cal una cadena d’exploits sofisticada ni una vulnerabilitat de memòria; n’hi ha prou amb la confiança de l’usuari en obrir un PDF que li han enviat.
Hi ha un detall que convé recordar: aquest error pertany a la mateixa família que CVE-2023-51698, però per una ruta de codi diferent que els pedaços anteriors no van cobrir. No és el primer cop que ev_spawn dona problemes.
A qui afecta i amb quina gravetat
Afecta qualsevol instal·lació amb l’Atril vulnerable. Amunt, els problemes són a versions anteriors a la 1.26.3 i a la branca 1.27.0 a 1.28.3. La puntuació CVSS v4.0 és de 8.4 (alta), amb vector CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N. El vector és local i requereix interacció de l’usuari (d’aquí el “un sol clic”), però l’impacte sobre confidencialitat, integritat i disponibilitat és alt. A la pràctica, si algú fa servir MATE i obre PDFs que li arriben per correu o que descarrega, està dins del rang de risc.
Mitigació i pedaç
La resposta és directa: actualitzar. Debian va publicar l’avís el 17 de juny de 2026 i el va corregir a l’estable Trixie (Debian 13) amb la versió 1.26.2-4+deb13u1, i a Bookworm (Debian 12) amb 1.26.0-2+deb12u4. Si tens les actualitzacions de seguretat activades, el més senzill és aplicar el que hi hagi pendent:
sudo apt update
sudo apt install --only-upgrade atrilMentre arriba el pedaç a altres sistemes, la precaució de sempre continua valent: no obris PDFs d’origen desconegut, i si has de treballar amb documents sospitosos fes-ho en un visor diferent o en un entorn aïllat. També val la pena comprovar si altres distribucions basades en MATE ja han retroportat l’arreglo.
Si vols ampliar context sobre la distribució, tens la fitxa de Debian amb la seva política de suport i branques.