Mit speziell präparierten PDF-Dateien, etwa auf Webseiten oder als E-Mail-Anhang, könnten Angreifer beliebigen Code einschleusen, der beim Öffnen der Dateien in Foxit-PDF-Software ausgeführt wird. In aktualisierten Fassungen behebt der Hersteller die Fehler.

Die Sicherheitslücken betreffen Foxit PDF Reader und Foxit PDF Editor für Windows in den Versionen vor der aktuellen 11.2.1. Die Programme für Mac vor 11.1.1 enthalten ebenfalls eine Lücke, die Angreifer zum Unterjubeln von Malware missbrauchen könnten. Schwachstellen in PDF-Software sind perfide: Da PDF-Dateien allgemein als ungefährlich gelten, werden sie etwa als E-Mail-Anhänge seltener ausgefiltert und stellen dadurch potenziell eine größere Gefahr dar als beispielsweise manipulierte Office-Dateien.

Zahlreiche Lücken

Eine Schwachstelle sticht dabei heraus, bei der ein Use-after-Free-Fehler in der Verarbeitung von eingebetteten Anmerkungs-, Dokument-Objekten oder Acroforms in einer PDF-Datei zur Ausführung einschmuggelten Codes führen kann (CVE-2021-40420). Aber auch manipulierte JPEG2000- oder JP2-Dateien können bei der Verarbeitung zur Ausführung von Schadcode führen.

Andere Schwachstellen treten erst auf, wenn die Nutzer Veränderungen an Dokumenten vornehmen wollen, etwa bei der Konvertierung in Office-Dokumente oder der Entfernung von Seiten aus Dokumenten mit JavaScript-API-Funktionen. Eine Sicherheitslücke in Foxit PDF für Mac kann beispielsweise Schadcode zur Ausführung bringen, da ein Seiten-Objekt nicht rechtzeitig gelöscht wird, wenn der Nutzer eine Seite entfernt.

Details zu den Lücken listet Foxit auf der Sicherheitsseite auf. Aktualisierungen stehen bereit; Nutzer und Administratoren sollten sie rasch installieren. Den Vorgang können Nutzer lokal durch Klick auf das "Hilfe"-Menü und dort Auswählen des Punktes mit der Update-Prüfung anstoßen. Auf der Download-Seite stehen auch aktualisierte Installationspakete etwa für die Verteilung im Netzwerk bereit.

Siehe dazu auch: Foxit Software bei heise Download

(dmk)