Zwei kritische Sicherheitslücken im Foxit PDF Reader

SicherheitVerwenden Sie die Foxit PDF-Reader zur Anzeige von PDF-Dokumenten? Der Reader enthält zwei kritische Sicherheitslücken, die der Hersteller nicht fixen will. [Update: Die Foxit-Entwickler wollen nun doch noch patchen.]

Die Sicherheitslücken im Foxit Reader wurden von Sicherheitsforschern gefunden und ermöglichen Angreifern Code auf dem Zielsystem auszuführen. Voraussetzung ist allerdings, dass der Reader nicht zum Öffnen von Dateien im Safe Reading Mode konfiguriert wurde.

Die erste Sicherheitslücke (CVE-2017-10951) ermöglicht Befehle über ein PDF-Dokument zu injizieren. Der Bug wurde von Sicherheitsforscher Ariele Caltabiano, in Zusammenarbeit mit der Trend Micro Zero Day Initiative (ZDI)  entdeckt. Die zweite Sicherheitslücke(CVE-2017-10952) geht auf einen Bug beim Schreiben von Dateien zurück und wurde von Steven Seeley, der für Offensive Security als Sicherheitsforscher arbeitet, gefunden.

Angreifer können diese Lücken über eine speziell präparierte PDF-Datei ausnutzen, um den Foxit Reader beim Öffnen der Datei anzugreifen. Die Foxit-Entwickler wollen die Lücken nicht patchen, da sie im „Safe Reading Mode“ nicht ausnutzbar sind:

„Foxit Reader & PhantomPDF has a Safe Reading Mode which is enabled by default to control the running of JavaScript, which can effectively guard against potential vulnerabilities from unauthorized JavaScript actions“

Da dieser Modus standardmäßig in den Readern aktiviert ist, lässt sich dies nachvollziehen. Nutzer sollten diesen Mode daher in den Einstellungen eingeschaltet lassen oder die Verarbeitung von JavaScript abschalten.

Die Sicherheitsforscher halten das Vorgehen aber für nicht ausreichend. Sie gehen davon aus, dass irgendwann ein Exploit zum Aushebeln des Save Reading Modes gefunden werden kann. Beide Sicherheitslücken lassen sich über die JavaScript API in Foxit Reader ausnutzen. Das Deaktivieren von JavaScript ist also auf jeden Fall zu empfehlen. Weitere Hinweise und Videos zur Demonstration der Lücken finden sich in diesem Artikel (Englisch) – Nachtrag: oder in deutsch in diesem Artikel.

Update: Die Foxit-Entwickler wollen nun doch noch patchen. Diese Info findet sich hier im Zero Day Initiative-Blog – bzw. in deutsch bei heise.de. Scheinbar kann ein Medienecho doch was bewirken.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Zwei kritische Sicherheitslücken im Foxit PDF Reader

  1. deoroller sagt:

    Wenn der PDF-Reader auch optional kein JavaScript ausführen kann, ist er auch sicher vor solchen Lücken. Soviel ich weiß, ist das bei Sumatra PDF der Fall.

  2. Holger K. sagt:

    Ich halte das PDF-Format aufgrund der Unterstützung von Javascript insgesamt für unsicher und es wäre eigentlich längst an der Zeit, dieses durch ein OpenSource-Format zu ersetzen.

    Als Adobe damit Anfang der Neunziger Jahre herauskam, war ich damals begeistert. Meine Begeisterung ließ aber später nach, als ich merkte, dass Adobe immer weitere Anwendungsgebiete dafür fand und später auch noch Dinge implementierte, die sicherheitstechnisch einem die Schweißperlen auf die Stirn trieben. Neben Flash ist die gesamte Acrobat-Produktpalette diejenige, die bei Adobe am häufigsten mit Sicherheitsfixes bedacht wird.

    Da Foxit ähnlich wie Adobe gerne auf neue Features und Anwendungsbereiche setzt, viele Dinge einbaut, die bei näherer Betrachtung eher zweifelhafte Goodies sind (ConnectedPDF, CloudReading) und auf den Punkt Sicherheit eher wenig Wert legt, darf es nicht wundern, wenn es auch hier zu möglichen, ausnutzbaren Sicherheitslücken kommt.

    Wer also nur einen PDF-Betrachter benötigt oder PDFs bearbeiten möchte, der sucht sich besser eine andere Software. Eine Alternative wurde hier schon genannt.

  3. Dekre sagt:

    Die Sicherheitslücke ist zwar ägerlich. Igendwann wird es aber repariert werden. Hier hilft vorerst bspw. Malwarebytes und/oder Hitman.pro-Alert.

    Der Foxit-Reader hat gegenüber allen anderen kostenlosen Readern einen Vorteil – Man kann mit ihm problemlos Dokumente einscannen und in PDF-Format speichern. Alle anderen kostenlosen Reader, ich habe alle hier genannten und viele andere getestet, können das nicht. Dieses Thema hatten wir im Blog auch schon mal thematisiert.

    In dem Artikel von heise.de, obiger Link, steht auch, dass Foxit die Lücke erst einmal nicht beseitigen will, weil über die Einstellung „sicheren Lesemodus aktivieren“ das geschützt sei. Diese Einstellung findet man unter Einstellungen/Trustmanager. Dort man kam auch das Feld „JavaSchript-Aktionen aktivieren“ wegklicken. Das würde ich auf alle Fälle empfehlen. Zumal auch „normale“ PDF-Dateien kein JavaScript benötigen. Damit ist erst einmal Sicherheit gegeben.

  4. deoroller sagt:

    Das ist wie bei ActiveX beim IE. Man kann es zwar deaktivieren, aber froh kann man erst sein, wenn der Mist abgeschafft worden ist. Alles, was deaktiviert ist , kann auch wieder aktiviert werden, über Lücken, über die sich Angreifer höhere Rechte verschaffen können oder man kommt bereits mit den Rechten des (Standard)Benutzers direkt ans Ziel.
    Dann beginnt der Dominoeffekt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert