Fehlerbereinigter Foxit Reader verfügbar
Seit Dienstag warteten Nutzer der Acrobat-Reader-Alternative Foxit Reader auf eine aktualisierte Softwareversion, die eine Lücke schließt, durch die kriminelle Individuen mit präparierten PDF-Dokumenten Schadcode einschleusen konnten.
Anfang der Woche wurde eine Sicherheitslücke im Foxit Reader bekannt, durch die Angreifer mit manipulierten PDF-Dateien Nutzern der Software schädlichen Programmcode unterjubeln konnten. Das "in Kürze" versprochene Update zum Schließen des Sicherheitslecks ließ jedoch bis zum heutigen Freitag auf sich warten.
Die neue Version behebt einen Fehler, durch den im PDF eingebettetes JavaScript mit sogenannten Format Strings mit Fließkommazahlen nicht korrekt überprüft wurde. In der Funktion util.printf() konnte dadurch ein Pufferüberlauf auftreten und eingeschleuster Schadcode ausgeführt werden.
Die Schwachstelle betrifft Foxit Reader in der Version 2.3 Build 2825 vom 25. April dieses Jahres und ältere Fassungen. Dienstag hatte der Hersteller ein in Kürze anstehendes Update auf Build 2912 zum Beheben des Fehlers angekündigt. Diese Fassung hat das Unternehmen jedoch übersprungen und am heutigen Freitagmittag Version 2.3 Build 2923 veröffentlicht. Angaben dazu, warum sich das Release verzögert hat und zudem eine Version übersprungen wurde, macht Foxit Software jedoch nicht.
Nutzer des Foxit Reader sollten die aktuelle Fassung so schnell wie möglich herunterladen und installieren. In der Software kann man die aktualisierte Version mit der Option "Check for Updates Now ..." im Help-Menü einspielen. Andernfalls laufen Foxit-Nutzer Gefahr, sich beim Öffnen eines harmlos anmutenden PDF-Dokuments aus nicht vertrauenswürdiger Quelle etwa einen Trojaner einzufangen.
Siehe dazu auch:
- Download der aktuellen Foxit-Reader-Version
(dmk)
