Neue Sicherheitslücken in Nitro PDF Pro – letzter Patch kam 2017

Angreifer könnten mit manipulierten PDF-Dokumenten Schadcode auf Computer mit Nitro PDF Pro schieben. Ein Patch wurde bislang nur angekündigt.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1 Beitrag

(Bild: Markus Spiske, gemeinfrei)

Von

Sicherheitsforscher von Cisco Talos haben in der PDF-Anwendung Nitro PDF Pro für Windows sechs Sicherheitslücken entdeckt. Durch deren erfolgreiche Ausnutzung könnten Angreifer Schadcode auf Computer schieben und ausführen. Eine abgesicherte Version ist derzeit noch nicht verfügbar. Die Free-Ausgabe von Nitro PDF ist den Sicherheitsforschern zufolge nicht bedroht.

Nitro PDF Pro kommt vor allem in Unternehmen zum Einsatz. Darunter beispielweise die österreichische Telekom und der deutsche Automobilzulieferer Contintental. Wie aus einem Bericht hervorgeht, hat Cisco Talos die Schwachstellen in der Version 12.12.1.522 entdeckt.

Alle Lücken (CVE-2019-5045, CVE-2019-5046, CVE-2019-5047, CVE-2019-5048, CVE-2019-5050, CVE-2019-5053) sind mit dem Bedrohungsgrad "hoch" eingestuft. In allen Fällen muss ein Angreifer einem Opfer ein präpariertes PDF-Dokument unterschieben. Beim Öffnen kommt es zu einem Speicherfehler, was zur Ausführung von Schadcode führen kann.

Den Sicherheitsforschen zufolge haben sie die Nitro-PDF-Entwickler im Mai 2019 kontaktiert und monatelang keine Antwort erhalten. Im August bekamen sie dann die Antwort, dass die erste Mail zu den Schwachstellen im Spam-Ordner gelandet ist. Im September versprachen die Entwickler dann die Lücken in einer kommenden Version zu schließen. Einen Zeitraum dafür nannten sie nicht. Das letzte Sicherheitsupdate gab es Ende 2017.

Damit Hersteller vor der Offenlegung von Informationen über Sicherheitslücken Zeit zum Bereitstellen von Patches haben, sollten sich Sicherheitsforscher an den Responsible-Disclosure-Grundsatz halten. Das war hier der Fall und Cisco Talos hat nun nach dem Verstreichen der 90-Tage-Frist Details zu den Schwachstellen veröffentlicht.

(des)