Nitro PDF Pro: Security-Update verhindert Codeausführung über präparierte PDFs
Die Software Nitro PDF Pro war unter anderem mittels schädlicher PDF-Dateien angreifbar. Die neueste Version umfasst zwei wichtige Sicherheitslücken-Fixes.
Forscher von Cisco Talos haben eine Sicherheitslücke in der kostenpflichtigen Software Nitro PDF Pro für Windows entdeckt. Angreifer hätten sie zur Codeausführung auf fremden Rechnern missbrauchen können – allerdings unter der Voraussetzung, dass ihr Opfer eine zu diesem Zweck speziell präparierte PDF-Datei in einer verwundbaren PDF Pro-Version auf dem Zielrechner öffnet.
Von der Sicherheitslücke mit der ID CVE-2021-21798 mit der Einstufung "High" (CVSS-Score 8.8) sind alle Nitro PDF Pro-Versionen bis einschließlich 13.47 betroffen. Ein Update auf eine neuere Version (aktuell ist laut Release-Notes-Übersicht des Herstellers PDF Pro 13.49.2.993) schützt vor möglichen Angriffen, die bislang aber wohl noch nicht beobachtet wurden.
Ein Blogeintrag des Cisco Talos-Teams sowie ein Talos Vulnerability Report zu CVE-2021-21798 liefern detaillierte technische Informationen zur Lücke.
Kritischer Lücken-Fix: CVE-2018-1285
Der Sicherheitsupdate-Übersicht zu Nitro Pro zufolge wurde mit der Veröffentlichung von Version 13.49.2.993 noch eine zweite, ältere Sicherheitslücke geschlossen, die ebenfalls Nitro PDF bis inklusive 13.47 betraf. CVE-2018-1285 steckte in Drittanbieter-Code, nämlich in Apache log4net, wurde daraus allerdings bereits im September 2020 entfernt. Offenbar haben die Nitro-Entwicklerteam den veralteten log4net-Code in ihrer Software erst jetzt auf den neuesten Stand gebracht.
Die Einstufung als "Critical" im NVD-Eintrag zu CVE-2018-1285 unterstreicht die Wichtigkeit eines zeitnahen PDF Pro-Updates. Laut Beschreibung hätten Angreifer mittels präparierter log4net-Konfigurationsdateien sogenannte XEE (XML external entity)-Angriffe auf den XML-Parser durchführen können. Welche Folgen ein solcher Angriff im Fall von Nitro Pro PDF haben könnte, bleibt offen. Generell sind mittels XEE-Angriffen aber etwa das Provozieren eines Absturzes (Denial-of-Service) oder das Abgreifen sensibler Dokumentinhalte denkbar.
Anwender sollten vor der Durchführung des Updates die in der Sicherheitsupdate-Übersicht genannten Vorbereitungen treffen.
(ovw)