Foxit PDF-Updates dichten hochriskante Schwachstellen ab
In der PDF-Software Foxit klafften Sicherheitslücken, durch die Angreifer etwa mit manipulierten PDF-Dateien Schadcode einschleusen und ausführen hätten können.
Foxit hat die Version 12.1.1 von Foxit PDF Editor und Foxit PDF Reader veröffentlicht und schließt darin mehrere Sicherheitslücken. Drei davon gelten als hochriskant und ermöglichen Angreifern das Einschleusen von Schadcode.
Foxit PDF: Hohes Risiko
Die drei als hohes Risiko eingestuften Sicherheitslücken hat Trend Micros Zero Day Initiative (ZDI) gemeldet (ZDI-CAN-19475, ZDI-CAN-19476, ZDI-CAN-19477). Weiterreichende Details hält ZDI im Rahmen des Responsible Disclosure-Prozesses noch zurück, aber es handelt sich allgemein um Use-after-free-Schwachstellen. Diese können zum Absturz der Anwendung und weiter zur Ausführung von untergeschobenen Code führen. "Dies geschieht durch die Verwendung von Objekten oder Zeigern, die bei der Ausführung bestimmter JavaScripts in PDF-Dateien freigegeben wurden", erläutert Foxit das Problem in der Sicherheitsmeldung.
Eine weitere Schwachstelle könnte aufgrund unzureichender Verschlüsselung zu unerwünschtem Informationsabfluss führen, wenn in Foxit PDF-Reader auf Banner-Werbung geklickt wird. Eine konkrete Risikoeinstufung dazu liefert das Unternehmen jedoch nicht.
Die sicherheitsrelevanten Fehler betreffen Foxit PDF Reader für Windows 12.1.0.15250 und ältere Versionen sowie Foxit PDF Editor für Windows 12.1.0.15250, 11.2.4.53774 sowie 10.1.10.37854 und jeweils vorhergehende Fassungen. Die Aktualisierung auf Version 12.1.1 lässt sich im Programm durch Klick auf "Hilfe" und dort "Über Foxit PDF Reader" respektive "Über Foxit PDF Editor" und dort "Nach Updates suchen" anstoßen. Alternativ steht Foxit PDF Editor 12.1.1 und Foxit PDF Reader 12.1.1 auf der jeweiligen Download-Seite zum Herunterladen bereit.
Zuletzt musste Foxit im PDF Editor und PDF Reader für Mac und Windows in der Mitte des vergangenen Jahres Sicherheitsupdates herausgeben. Der Hersteller schloss damit Schwachstellen, durch die Angreifer ebenfalls Schadcode hätten einschleusen und ausführen können.
Siehe auch:
- Foxit PDF Reader bei heise Download
- Foxit PDF Editor bei heise Download
- Foxit PDF Reader Mobile bei heise Download
(dmk)