/Zero-Day-Lücken im PDF Reader: Foxit verzichtet auf Patches

Zero-Day-Lücken im PDF Reader: Foxit verzichtet auf Patches

Zero-Day-Lücken im PDF Reader: Foxit verzichtet auf Patches


Olivia von Westernhagen

Im Foxit PDF Reader klaffen zwei Lücken, die Angreifern unter bestimmten Umständen die lokale Codeausführung ermöglichen. Foxit lässt sie bewusst offen – schließlich wehre ein standardmäßig aktives Feature Angriffe ab. Experten wittern dennoch Gefahren.

Sicherheitsforscher warnen vor zwei kritischen Zero-Day-Lücken im Foxit PDF Reader. Die mit CVE-2017-10951 und CVE-2017-10952 bezeichneten Schwachstellen ermöglichen die Ausführung von Schadcode auf dem lokalen Rechner. Hierfür müssten Angreifer den Nutzer jedoch erst zum Öffnen eines speziell präparierten PDF-Dokuments mit dem Foxit Reader bewegen. Bei beiden Lücken spielt die Reader-eigene JavaScript-API eine zentrale Rolle.

Wie die Zero Day Initiative (ZDI) berichtet, lehnt Foxit es ab, die Lücken zu schließen. Das Unternehmen begründet seine Entscheidung damit, dass ein – standardmäßig aktivierter – “Safe Reading Mode” die JavaScript-Ausführung kontrolliere und somit bereits ausreichenden Schutz biete. ZDI-Experten halten diesen Schutz auf Dauer nicht für ausreichend: Es bestehe die Gefahr, dass Angreifer in naher Zukunft einen Weg fänden, den Safe Reading Mode zu umgehen.

Foxit-Nutzer, die ihre Einstellungen für den Safe Reading Mode trotz Default-Aktivierung vorsichtshalber überprüfen wollen, finden diese laut Foxits Online-Hilfe unter Preferences > Trust Manager.

Codeausführung und Anlegen von Dateien

Die Sicherheitsmeldungen der Zero Day Initiative beschreiben weitere Details der beiden Lücken. Demnach basiert die Lücke CVE-2017-10951 auf einer unzureichenden Überprüfung nutzerdefinierter Strings, die an eine Methode namens “app.launchURL” übergeben werden. In einem YouTube-Video demonstriert ZDI dies am Beispiel einer PDF-Datei, die nach dem Öffnen den Windows-eigenen Taschenrechner startet (ein üblicher Ersatz für echten Schadcode im Angriffsfall).

Auch für CVE-2017-10952 gibt es ein Beispiel-Video: Hier wird die JavaScript-Funktion “saveas” zum automatischen Anlegen und Speichern einer Datei in einem beliebigen Verzeichnis verwendet. Ein typisches Angriffsszenario ist laut der ZDI das Einbetten einer HTA-Datei in ein PDF, das von dort aus mit “saveas” in den Windows Autostart-Ordner geschrieben werde. Nach dem Neustart könne aus der HTA-Datei heraus beispielsweise VBScript-Code ausgeführt werden.


(ovw)