Zero-Day-LĂĽcken im PDF Reader: Foxit verzichtet auf Patches
Im Foxit PDF Reader klaffen zwei Lücken, die Angreifern unter bestimmten Umständen die lokale Codeausführung ermöglichen. Foxit lässt sie bewusst offen – schließlich wehre ein standardmäßig aktives Feature Angriffe ab. Experten wittern dennoch Gefahren.
Sicherheitsforscher warnen vor zwei kritischen Zero-Day-Lücken im Foxit PDF Reader. Die mit CVE-2017-10951 und CVE-2017-10952 bezeichneten Schwachstellen ermöglichen die Ausführung von Schadcode auf dem lokalen Rechner. Hierfür müssten Angreifer den Nutzer jedoch erst zum Öffnen eines speziell präparierten PDF-Dokuments mit dem Foxit Reader bewegen. Bei beiden Lücken spielt die Reader-eigene JavaScript-API eine zentrale Rolle.
Wie die Zero Day Initiative (ZDI) berichtet, lehnt Foxit es ab, die Lücken zu schließen. Das Unternehmen begründet seine Entscheidung damit, dass ein – standardmäßig aktivierter – "Safe Reading Mode" die JavaScript-Ausführung kontrolliere und somit bereits ausreichenden Schutz biete. ZDI-Experten halten diesen Schutz auf Dauer nicht für ausreichend: Es bestehe die Gefahr, dass Angreifer in naher Zukunft einen Weg fänden, den Safe Reading Mode zu umgehen.
Foxit-Nutzer, die ihre Einstellungen fĂĽr den Safe Reading Mode trotz Default-Aktivierung vorsichtshalber ĂĽberprĂĽfen wollen, finden diese laut Foxits Online-Hilfe unter Preferences > Trust Manager.
CodeausfĂĽhrung und Anlegen von Dateien
Die Sicherheitsmeldungen der Zero Day Initiative beschreiben weitere Details der beiden LĂĽcken. Demnach basiert die LĂĽcke CVE-2017-10951 auf einer unzureichenden ĂśberprĂĽfung nutzerdefinierter Strings, die an eine Methode namens "app.launchURL" ĂĽbergeben werden. In einem YouTube-Video demonstriert ZDI dies am Beispiel einer PDF-Datei, die nach dem Ă–ffnen den Windows-eigenen Taschenrechner startet (ein ĂĽblicher Ersatz fĂĽr echten Schadcode im Angriffsfall).
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Auch für CVE-2017-10952 gibt es ein Beispiel-Video: Hier wird die JavaScript-Funktion "saveas" zum automatischen Anlegen und Speichern einer Datei in einem beliebigen Verzeichnis verwendet. Ein typisches Angriffsszenario ist laut der ZDI das Einbetten einer HTA-Datei in ein PDF, das von dort aus mit "saveas" in den Windows Autostart-Ordner geschrieben werde. Nach dem Neustart könne aus der HTA-Datei heraus beispielsweise VBScript-Code ausgeführt werden. (ovw)
