Alert!

Nitro PDF Pro: Security-Update verhindert Codeausführung über präparierte PDFs

Die Software Nitro PDF Pro war unter anderem mittels schädlicher PDF-Dateien angreifbar. Die neueste Version umfasst zwei wichtige Sicherheitslücken-Fixes.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 5 Beiträge

(Bild: Alfa Photo/Shutterstock.com)

Von
  • Olivia von Westernhagen

Forscher von Cisco Talos haben eine Sicherheitslücke in der kostenpflichtigen Software Nitro PDF Pro für Windows entdeckt. Angreifer hätten sie zur Codeausführung auf fremden Rechnern missbrauchen können – allerdings unter der Voraussetzung, dass ihr Opfer eine zu diesem Zweck speziell präparierte PDF-Datei in einer verwundbaren PDF Pro-Version auf dem Zielrechner öffnet.

Von der Sicherheitslücke mit der ID CVE-2021-21798 mit der Einstufung "High" (CVSS-Score 8.8) sind alle Nitro PDF Pro-Versionen bis einschließlich 13.47 betroffen. Ein Update auf eine neuere Version (aktuell ist laut Release-Notes-Übersicht des Herstellers PDF Pro 13.49.2.993) schützt vor möglichen Angriffen, die bislang aber wohl noch nicht beobachtet wurden.

Ein Blogeintrag des Cisco Talos-Teams sowie ein Talos Vulnerability Report zu CVE-2021-21798 liefern detaillierte technische Informationen zur Lücke.

Der Sicherheitsupdate-Übersicht zu Nitro Pro zufolge wurde mit der Veröffentlichung von Version 13.49.2.993 noch eine zweite, ältere Sicherheitslücke geschlossen, die ebenfalls Nitro PDF bis inklusive 13.47 betraf. CVE-2018-1285 steckte in Drittanbieter-Code, nämlich in Apache log4net, wurde daraus allerdings bereits im September 2020 entfernt. Offenbar haben die Nitro-Entwicklerteam den veralteten log4net-Code in ihrer Software erst jetzt auf den neuesten Stand gebracht.

Die Einstufung als "Critical" im NVD-Eintrag zu CVE-2018-1285 unterstreicht die Wichtigkeit eines zeitnahen PDF Pro-Updates. Laut Beschreibung hätten Angreifer mittels präparierter log4net-Konfigurationsdateien sogenannte XEE (XML external entity)-Angriffe auf den XML-Parser durchführen können. Welche Folgen ein solcher Angriff im Fall von Nitro Pro PDF haben könnte, bleibt offen. Generell sind mittels XEE-Angriffen aber etwa das Provozieren eines Absturzes (Denial-of-Service) oder das Abgreifen sensibler Dokumentinhalte denkbar.

Anwender sollten vor der Durchführung des Updates die in der Sicherheitsupdate-Übersicht genannten Vorbereitungen treffen.

(ovw)