Alte und neue Lücken im Foxit Reader

Mit Version 5.0.2.0718 schließt Foxit zwei kritische Schwachstellen in seinem PDF-Anzeigeprogramm Reader. Durch eine fehlerhafte Bereichsüberprüfung im ActiveX-Plugin kann man sich beim Besuch einer Webseite, die ein verseuchtes PDF-Dokument enthält, mit Schadcode infizieren. Dieser Heap-Buffer-Overflow ist ein alter Bekannter, der bereits in der Version 3.1.4.1125 aufgetreten ist und zwischenzeitlich mit Version 4.3.0.1110 behoben wurde, wie Secunia berichtet.

Allerdings war der Fehler nie so kritisch wie jetzt, da er sich erst jetzt aus der Ferne ausnutzen lässt – bei seinem ersten Auftreten hatten die Entwickler das ActiveX-Control noch nicht als "sicher für Scripting" markiert. Diese Einstufung nimmt ein Hersteller vor, wenn er der Überzeugung ist, dass das Control keinen Schaden anrichten kann.

Zudem wurde eine DLL-Planting-Lücke geschlossen, durch die der Reader benötigte DLLs zunächst aus dem Verzeichnis nachgeladen hat, in dem sich die zu öffnende Datei befindet. Hat ein Angreifer eine PDF-Datei auf einer SMB- oder WebDAV-Freigabe abgelegt, hätte er dem Opfer so beliebigen in DLLs deponierten Schadcode unterschieben können. Secunia konnte die Lücken in Version 5.0.1.0523 bestätigen, vermutlich sind jedoch auch andere Versionen verwundbar. (rei)