[English]In den beiden PDF-Programmen Foxit PDF Reader und PhantomPDF gibt es eine Remote Code Execution-Schwachstelle. Der Hersteller hat aber bereits Updates zum Schließen der kritischen Schwachstelle veröffentlicht – ich hatte darauf hingewiesen. Nun sind noch einige Details bekannt geworden.
Ich bin vor einigen Stunden auf diesen Sachverhalt über den nachfolgenden Tweet der Kaspersky-Leute aufmerksam geworden.
Use FoxIT or Phantom PDF reader? You might want to take note https://t.co/XcWkMfEOwa
— Kaspersky (@kaspersky) April 21, 2020
Bereits am 13. April 2020 hatte ich im Blog-Beitrag Sicherheitsupdate Foxit Reader 9.7.2 über ein Sicherheitsupdate für den Foxit Reader und den Foxit PhantomPDF berichtet, das eine RCE-Schwachstelle schließt. Das Update wurde zurückgezogen und später wieder veröffentlicht. Details zu Schwachstellen in diversen Produkten sind im Foxit-Security-Bulletin zu finden. Hier ein kurzer Überblick über die Schwachstellen im Foxit-Reader und in PhantomPDF.
Schwachstellen im Foxit Reader
ThreadPost hat in diesem Artikel mehr Details offen gelegt. Um die RCE-Schwachstelle im Foxit Reader ausnutzen zu können, muss der Angreifer das Opfer dazu bringen, eine bösartige PDF-Datei aktiv zu öffnen. Dabei sind verschiedene Schwachstellen ausnutzbar. Es gibt die beiden Schwachstellen (CVE-2020-10899, CVE-2020-10907) bei der Verarbeitung von XFA-Vorlagen. Das sind in PDF-Dateien eingebettete Vorlagen, die ausfüllbare Felder ermöglicht. Die Schwachstellen resultieren aus der fehlenden Validierung der Existenz eines Objekts vor der Durchführung von Operationen an diesem Objekt. Ein Angreifer kann beide Fehler ausnutzen, um Code im Kontext des aktuellen Prozesses auszuführen.
Sicherheitsforscher sind auch auf einen weiteren RCE-Fehler (CVE-2020-10900) gestoßen. Dieser resultiert aus der Art und Weise, wie AcroForms verarbeitet werden. AcroForms sind PDF-Dateien, die Formularfelder enthalten. Der Fehler existiert, weil die AcroForms die Existenz eines Objekts vor der Ausführung von Operationen an diesem Objekt nicht validieren.
Die Schwachstellen sind im Foxit Reader Version 9.7.2 behoben. In dieser Version wurde auch die Schwachstelle CVE-2020-10906 in der resetForm-Methode innerhalb von Foxit Reader PDFs behoben. Das Problem besteht darin, dass vor der Durchführung von Operationen am Objekt keine Prüfung auf ein Objekt erfolgt, wodurch der Prozess für einen RCE-Angriff geöffnet wird.
PhantomPDF
Auch in PhantomPDF existieren mehrere schwerwiegende Fehler in den Versionen 9.7.1.29511 und früher. Anwendern wird dringend empfohlen, auf PhantomPDF Version 9.7.2 zu aktualisieren. Dustin Childs von Trend Micros Zero Day Initiative (ZDI) gibt an, dass die schwerwiegendsten davon zwei Fehler in der API-Kommunikation von PhantomPDF (CVE-2020-10890 und CVE-2020-10892) seien. PhantomPDF-API-Aufrufe sind für die Erstellung von PDFs aus anderen Dokumenttypen erforderlich.
Diese Fehler ergeben sich aus der Handhabung des ConvertToPDF-Befehls und des CombineFiles-Befehls, die ein beliebiges Schreiben von Dateien mit von Angreifern kontrollierten Daten ermöglichen. „CVE-2020-10890 und CVE-2020-10892 zeichnen sich dadurch aus, dass sie relativ leicht auszunutzen sind“, sagte Childs gegenüber Threatpost. „Sie sind sehr unkompliziert und erfordern keine Angriffstechniken wie Massage oder Heap Spraying, um erfolgreich zu sein”.
Zwei weitere kritische Schwachstellen (CVE-2020-10912, CVE-2020-10912) ergeben sich aus der Behandlung des SetFieldValue-Befehls bei API-Aufrufen. Das Fehlen einer ordnungsgemäßen Validierung der vom Benutzer eingegebenen Daten für diese Befehle führt zu einer Type-Confusion-Bedingung – und letztendlich zu einer willkürlichen Codeausführung. Bei allen oben genannten schwerwiegenden Fehlern kann ein Angreifer Code im Kontext des aktuellen Prozesses ausführen – es ist jedoch eine Benutzerinteraktion erforderlich, beim dem das Opfer eine bösartige Seite besuchen oder eine bösartige Datei öffnen muss.
Ähnliche Artikel:
Sicherheitsupdate Foxit Reader 9.7.2
Foxit Software gehackt, Kundendaten gestohlen
Das Update ist aber geheim und nicht jeder soll es finden!
Da, wo Foxit die Versionshistory publiziert, schweigt man seit September. Da steht als neueste Version immernoch die 9.7.0:
https://www.foxitsoftware.com/products/pdf-reader/version-history.php
Über den Downloadlink kommt man dann zwar zur 9.7.2, aber das probiere ich natürlich nicht ständig aus. Wann wird man sich bei den Softwareherstellen wohl endlich ernsthaft um diese Dinge kümmern???
Stimmt so nicht. Das ist leichter Irrtum.
Ich hatte hier des öfteren berichtet, dass bei US-Unternehmen es schwierig mit der deutschsprachigen Seite ist. Das trifft auf alle US-Unternehmen zu, einschließlich Microsoft, auch Intel, Nvidia, Adobe u.v.a.m.
Bitte dann wechseln auf Original-Seite. Foxit hat auch keinen reinen Service in Deutschland, Foxit hat nur eine nichtssagende Pressestelle und ist komischerweise in irgendein deutschen Unternehmensverband vertreten.
Die US-Seite spukt dieses aus:
https://www.foxitsoftware.com/support/security-bulletins.php
NB: Mich ärgert es auch extrem, wenn deutschsprachige Seiten angeboten werden, diese aber nicht adäquat gepflegt werden. Die us-englische Sprache geht mir sichtlich auf die Nerven. Bedenkt man, dass damals bei der Entscheidung über die Staatssprache des neunen Staates USA bzgl der Sprachherkunft mehr Deutsche Einwanderer waren und damit mehr Einwanderer deutsch gesprochen haben, so kann man nur was hinterhertrauern, was nicht mehr nützt.
NB-2: Bruce Willis ist eigentlich auch „Deutscher“ und hat viele Verwandte hier. Das trifft auf viele zu. Na, wer ist reiner Einwanderer aus bitterer Armut im 19. Jahrhundert?…
Ich will dir ja keinen Schreck einjagen, aber setz dich erst:
„Die Mutter von Schauspielstar Bruce Willis und zwei seiner Töchter haben einen Verwandten in Deutschland besucht – den „Wildecker Herzbuben“ Wilfried Gliem (71). „
Die Release Notes gibts hier: https://www.foxitsoftware.com/pdf-reader/version-history.php – leider kein RSS-Feed verfügbar.
Ich merke gerade, daß der von mir genannte (und bisher immer benutzte) Link auf diese deutsche Seite weitergeleitet wird:
https://www.foxitsoftware.com/de/pdf-reader/version-history.php
Das gleiche passiert mit dem Link von Martin Feuerstein.
Auch der von Dekre genannte Link zu den Security bulletins wrd auf die deutsche Version umgeleitet. Dort findet man immerhin schon die Version vom Januar…
Das ist auch so etwas, was ich hasse, wenn die Webseiten automatisch auf eine andere Sprache umgeleitet werden. Leider scheint es nicht möglich zu sein, die englische Version-History mit einem Link direkt aufzurufen, ohne zuvor die Sprachversion des Browsers zu ändern. Eine Sprachkennung wie „de“ im Link gibt es für Englisch offenbar nicht. Ich habe Verschiedenes ausprobiert.
Auf diese Verwirrung ist es wohl zurückzuführen, daß die vor ein paar Tagen schon angekündigte Aktualisierung scheinbar innerhalb kürzester Zeit still und leise wieder zurückgezogen wurde. In Wahrheit war sie für nicht englische Browser wohl nur versteckt.
Es bleibt den Nutzern eines deutschen Browsers nur übrig, die Sprache der Seite manuell auf Englisch umzustellen. Dann bekommt man die aktuellen Informationen. Wie blöd muß man sein, so einen Schwachsinn zu programmieren!
Der Downloadlink führt aber auch auf der deutschen Seite (zumindest seit heute, vielleicht von Anfang an) zur aktuellen Version.
Ich merke das gerade auch, gestern funktioniert es noch. Ich teste die eingestellten Browserseiten nämlich immer später noch einmal, wenn mein Kommentar im Blog steht. Die Foxitseite wechselt automatisch auf die deutsche Sprachseite. Ja, das ist etwas ärgerlich, sehr nervig. Da kann man auch keine Links einstellen, wenn die Seite dann wechselt.
Lösung: Bei Foxit im geöffneten Link oben bei Sprache auf „englisch“ klicken und dann …support/security… und sich durchsuchen. Es ist „…Click here to check Foxit security bulletins“ und Du bist am Ziel.
Dort dann:
„…Click here to download the updated version of Foxit Reader from our website…“