Nachdem sich FoxIt beim Patchen einer 0-Day-Sicherheitslücke Zeit lässt, hat ein Drittanbieter einen Mikropatch herausgebracht, der zumindest CVE-2017-10952 schließt.
Worum geht es?
Vor einigen Tagen hatte ich über zwei kritische Sicherheitslücken im FoxIt PDF-Reader berichtet (Zwei kritische Sicherheitslücken im Foxit PDF Reader). Die Sicherheitslücken ermöglichen Angreifern Code auf dem Zielsystem auszuführen.
Die Sicherheitslücke CVE-2017-10952 geht auf einen Bug beim Schreiben von Dateien zurück und wurde von Steven Seeley, der für Offensive Security als Sicherheitsforscher arbeitet, gefunden.
Voraussetzung zum Ausnutzen der Sicherheitslücken ist allerdings, dass der Reader nicht zum Öffnen von Dateien im Safe Reading Mode konfiguriert wurde. Da der Safe Reading Mode standardmäßig aktiviert ist, wollte FoxIt diese Lücken erst nicht patchen. Erst nachdem im Web darüber berichtet wurde, deutete sich ein Sinneswandel an. FoxIt will nun doch einen Patch bereitstellen.
Mikropatch von einem Fremdanbieter
Auf Grund meines Blog-Beitrags bin ich heute von ACROS Security angemailt worden. Ich bekam die Information, dass die Firma selbst einen Mikropatch erstellt habe, um die Sicherheitslücke CVE-2017-10952 zu schließen.
ACROS Security hat sich auf die Entwicklung solcher Mikropatches spezialisiert und realisiert diese mit der sogenannten „0patch“-Technologie. Informationen zu dieser Technologie gibt es auf der Webseite https://0patch.com.
Mit dieser Technologie können Hersteller selbst Mikropatches entwickeln, die Sicherheitslücken in ihren Produkten schließen. Dies ermöglicht eine schnelle Reaktion auf bekannt gewordene Zero-Day-Sicherheitslücken.
Zurück zum FoxIt-Reader. In diesem Blog-Beitrag beschreiben die Leute von ACROS Security das Problem mit der Sicherheitslücke CVE-2017-10952 etwas genauer. Im Anschluss wird der Mikropatch im Assemblercode vorgestellt. Ist der 0patch Agent auf dem Windows-System installiert, wendet dieser den Mikropatch jedes Mal an, wenn der FoxIt-Reader gestartet wird.
Das Thema 0patch ist übrigens nicht Neuland. Im März diesen Jahres hatte ich bereits einmal im Blog-Beitrag Temporärer Fix für Windows GDI-Sicherheitslücke über einen Mikropatch berichtet. Dieser diente dazu, ein Zero-Day-Exploit in Windows zu schließen, bis Microsoft einen Patch bereitstellt.