zurück zum Artikel

Mit Version 5.0.2.0718 schließt Foxit zwei kritische Schwachstellen in seinem PDF-Anzeigeprogramm Reader, die ein Angreifer zum Einschleusen von Schadcode missbrauchen können.

Mit Version 5.0.2.0718 [1] schließt Foxit zwei kritische Schwachstellen in seinem PDF-Anzeigeprogramm Reader. Durch eine fehlerhafte Bereichsüberprüfung im ActiveX-Plugin kann man sich beim Besuch einer Webseite, die ein verseuchtes PDF-Dokument enthält, mit Schadcode infizieren. Dieser Heap-Buffer-Overflow ist ein alter Bekannter, der bereits in der Version 3.1.4.1125 aufgetreten ist und zwischenzeitlich mit Version 4.3.0.1110 behoben wurde, wie Secunia berichtet [2].

Allerdings war der Fehler nie so kritisch wie jetzt, da er sich erst jetzt aus der Ferne ausnutzen lässt – bei seinem ersten Auftreten hatten die Entwickler das ActiveX-Control noch nicht als "sicher für Scripting" markiert. Diese Einstufung nimmt ein Hersteller vor, wenn er der Überzeugung ist, dass das Control keinen Schaden anrichten kann.

Zudem wurde eine DLL-Planting-Lücke geschlossen, durch die der Reader benötigte DLLs zunächst aus dem Verzeichnis nachgeladen hat, in dem sich die zu öffnende Datei befindet. Hat ein Angreifer eine PDF-Datei auf einer SMB- oder WebDAV-Freigabe abgelegt, hätte er dem Opfer so beliebigen in DLLs deponierten Schadcode unterschieben können. Secunia konnte die Lücken in Version 5.0.1.0523 bestätigen, vermutlich sind jedoch auch andere Versionen verwundbar. (rei [3])

URL dieses Artikels:
https://www.heise.de/-1285784

Links in diesem Artikel:
[1] http://www.foxitsoftware.com/downloads/
[2] http://secunia.com/advisories/44947/
[3] mailto:rei@heise.de

Copyright © 2011 Heise Medien