Thema: Sicherheits-Update für Foxit Reader

[SiLæncer]

Foxit Software hat eine neue Version seines PDF-Readers Foxit Reader vorgelegt, um mehrere Sicherheitslücken zu beseitigen. Laut Bericht lassen sich die Fehler beim Einlesen von JPX- beziehungsweise JPEG2000-Streams in PDF-Dokumenten von Angreifern ausnutzen, um ein System mit Schadcode zu infizieren. Allerdings unterstützt der Foxit Reader solche Streams nur, wenn der Anwender das dazugehörige Add-on installiert hat – was er beim Öffnen eines derartigen Dokumentes aber automatisch angeboten bekommt.

Die Fehler sind seit Foxit Reader 3.0 Build 1817 und dem JPX-Add-on 2.0.2009.616 behoben. Nach der Installation des neuen Foxit Readers muss man über die Funktion "Check Updates Now" die aktuelle Version des Add-ons nachladen. Alternativ hilft auch des Deaktivieren von Javascript in Foxit (Edit/Preferences/ JavaScript).

Apropos PDF: Adobe hat mittlerweile auch die Unix-Version des Adobe Reader zur Verfügung gestellt.

Quelle und Links : http://www.heise.de/newsticker/Sicherheits-Update-fuer-Foxit-Reader--/meldung/140946

[SiLæncer]

Foxit hat auf den vom PDF-Sicherheitsspezialisten Didier Stevens entwickelten Exploit reagiert und die Sicherheitslücke mit der neuen Version 3.2.1.0401 des Foxit Reader geschlossen. Der nur in einer Demo-Version veröffentlichte Exploit nutzt die in der PDF-Spezifikation beschriebene Fähigkeit von Readern, das Ausführen von Nicht-PDF-Code anzustoßen. In den bisherigen Versionen des Foxit Reader startete der Prozess gänzlich ohne Warnhinweis.

Adobe hat  bisher noch nicht auf den Exploit reagiert. Zumindest gibt der Acrobat Reader aber eine Warnung aus. Zudem lässt sich als vorläufiger Schutz die Option "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" deaktivieren.

Quelle : www.heise.de

[SiLæncer]

Version 3.3 des Foxit-Reader enthält einen sogenannten Trust Manager, mit dem sich der Reader so einstellen lässt, dass er keine im PDF-Dokument eingebetteten Skripte oder Programme mehr ausführt. Der Adobe Reader hat eine ähnliche Funktion bereits seit Längerem integriert.

Die Foxit-Entwickler reagieren damit auf das immer noch schwelende Problem der /launch-Funktion der PDF-Spezifikation. Durch die Funktion "Launch Actions/Launch File" lassen sich Skripte oder EXE-Dateien starten. Der Foxit fragt zwar seit Version 3.2.1.0401 beim Anwender nach, ob dieser dem Start der Datei zustimmt, allerdings lassen sich Teile des Warndialogs so gestalten, dass der Anwender keinen Verdacht schöpft, es geschehe gerade etwas Ungewolltes.

Mit der aktivierten Funktion "Enable Safe Reading Mode" führt der Foxit-Reader den Code selbst dann nicht mehr aus, wenn man den Warndialog missachtet und die Skripte öffnet. Standardmäßig ist die neue Option nach der Installation aktiviert. Beim Adobe Reader funktioniert die Option genau andersherum: Erst das Deaktivieren der standardmäßig eingeschalteten Funktion – "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" – macht den Adobe Reader immun.

Erst kürzlich hatten Antivirenhersteller von Versuchen Krimineller berichtet, mit präparierten PDF-Dokumenten Windows-PCs mit ZeuS-Bots und Würmern zu infizieren. Anwender sollten also dringend die Konfiguration ihrer PDF-Reader überprüfen.

Quelle : www.heise.de

[SiLæncer]

Foxit Software hat mit Reader-Version 4.1.1.0805 eine kritische Sicherheitslücke in seinem PDF-Betrachter geschlossen, über die man beliebigen Code in das System einschleusen kann. Bekanntheit erlangte die Schwachstelle durch die Webseite JailbreakMe.com, die Apples Mobilgeräte mit iOS-Betriebssystem durch ein präpariertes PDF-Dokument vom App-Store-Zwang befreit.

Die Lücke ist offenbar auf die FreeType2-Bibliothek zurückzuführen, die sowohl der Foxit Reader als auch das PDF-Anzeigeprogramm von iPhone, iPod touch und iPad zur Darstellung von Schriften nutzen. Apple bietet noch kein Update an, soll aber bereits daran arbeiten. Inzwischen hat auch Red Hat reagiert und seine FreeType-Pakete aktualisiert. Da die Bibliothek sehr verbreitet ist, werden wohl bald weitere Hersteller mit eigenen Updates folgen.

Quelle : www.heise.de

[SiLæncer]

Version 4.2 des Foxit Reader  beseitigt zwei Schwachstellen. Ein Buffer Overflow bei der Verarbeitung von PDF-Dokumenten mit mehr als 512 Byte langen Titeln lässt sich möglicherweise ausnutzen, um Schadcode in einen PC zu schleusen und zu starten. Zudem erkennt der Foxit Reader nun, wenn ein PDF-Dokument manipulierte digitale Signaturen enthält.

Mit Tricks war es möglich, eine für ein anderes Dokument ausgestellte, gültige Signatur so in ein zweites Dokument einzubetten, dass sie dort ebenfalls als gültig erschien. Der Hersteller hat darüber hinaus auch sein Suite "Foxit Phantom " aktualisiert, um dort ebenfalls den Fehler bei zu langen Titeln zu beheben. .

Quelle : www.heise.de

[SiLæncer]

Der Hersteller Foxit Software hat das Update 4.3.1.0218 für seinen PDF-Reader veröffentlicht, um eine Schwachstelle zu beseitigen. PDF-Dokumente mit präpariertem Inhalt können einen Integer Overflow provozieren. Dieser lässt sich wiederum für einen Heap Overflow ausnutzen, durch den sich nach Analysen des Sicherheitsdienstleisters Secunia vermutlich Code in ein System schleusen und starten lässt.

Das Update lässt sich über die Update-Funktion des Foxit Reader (Hilfe-Menü) herunterladen und installieren. Alternativ können Anwender die neue Version auch über einen Webbrowser von den Seiten des Anbieters herunterladen. Neben dem PDF-Reader ist auch die PDF-Suite Foxit Phantom verwundbar, für die im Laufe dieser Woche ebenfalls ein Update erscheinen soll.

Quelle : www.heise.de

[SiLæncer]

Mit Version 5.4 schließt Foxit eine Sicherheitslücke im PDF Reader, die vor zwei Wochen dokumentiert wurde. Über die Sicherheitslücke könnten Angreifer ein System mit Schad-Software infizieren, wenn ein Opfer eine PDF-Datei öffnet.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Der Sicherheitsexperte Andrea Micalizzi hat eine kritische Schwachstelle im Browser-Plug-in des aktuellen Foxit Reader entdeckt, die sich zum Einschleusen von Schadcode eigenen soll. Wird das Plug-in namens npFoxitReaderPlugin.dll von einer Webseite angewiesen, ein PDF-Dokument von einer sehr langen URL zu öffnen, kommt es zum Pufferüberlauf auf dem Stack. Einen passenden Exploit liefert Micalizzi in seinem Advisory gleich mit.

Der ganze Artikel

Quelle : www.heise.de