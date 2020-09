In aktuellen Security Bulletins weist der Software-Hersteller Foxit auf neue Versionen der PDF-Software Reader und PhantomPDF sowie des 3D Plugins (Beta) – jeweils für Windows – hin. Programme und Plugin wurden gegen eine Reihe von Sicherheitslücken abgesichert, von denen viele aus der Ferne ausnutzbar sind.

Foxits Security Bulletins nennen keine Details zur Risikoeinstufung. Externe Reports von Sicherheitsforschern der Zero Day Initiative (ZDI), die einige der Lücken entdeckt haben, beinhalten aber in mehreren Fällen einen CVSS-Score von 7.8 ("High"). Mögliche Auswirkungen erfolgreicher Angriffe reichen von der Ausweitung vorhandener Nutzerprivilegien über den unbefugten Zugriff auf Informationen und das Provozieren von Programmabstürzen bis hin zur Ausführung beliebigen Codes aus der Ferne. In vielen Fällen sind zum Ausnutzen der Lücken allerdings Nutzerinteraktionen wie das Öffnen speziell präparierter Dokumente und Websites erforderlich.

Verwundbar sind alle Versionen von Reader, PhantomPDF und 3D Plugin Beta bis einschließlich Version 10.0.1.35811. Version 10.1 schließt die Lücken.

Nutzer der verwundbaren Foxit-Produkte unter Windows sollten zeitnah ein Update auf Version 10.1 durchführen. Im Falle einer bereits bestehenden Installation kann man die Aktualisierung manuell über den Menüpunkt "Help"--> "Check for Updates" in Reader oder PhantomPDF anstoßen. Die abgesicherten Software-Versionen stehen außerdem im Downloadbereich von Foxit Software bereit.

(ovw)