Abo
  • Services:
Anzeige
Zwei Sicherheitslücken erlauben die Ausführung von Schadcode außerhalb des Safe Reading Mode.
Zwei Sicherheitslücken erlauben die Ausführung von Schadcode außerhalb des Safe Reading Mode. (Bild: Foxit Software)

Alternativer PDF-Reader: ZDI nötigt Foxit zum Patchen von Sicherheitslücken

Zwei Sicherheitslücken erlauben die Ausführung von Schadcode außerhalb des Safe Reading Mode.
Zwei Sicherheitslücken erlauben die Ausführung von Schadcode außerhalb des Safe Reading Mode. (Bild: Foxit Software)

Ursprünglich wollte Foxit Software zwei von der Zero Day Initiative entdeckte Sicherheitslücken in seiner PDF-Software nicht schließen, schließlich hat die Software einen Safe Mode, der das Ausführen von Javascript unterbindet. Nach einem Blogeintrag der Initiative hat es sich Foxit anders überlegt.

Zwei von der Zero Day Initiative im Mai und Juni 2017 an Foxit gemeldete Sicherheitslücken in der gleichnamigen alternativen PDF-Software werden vom Hersteller demnächst geschlossen. Eine unmittelbare Gefahr für Anwender besteht nicht, sofern sie bei der Verwendung von PDF-Dateien den Safe Reading Mode nicht deaktivieren. Sollten Anwender den Modus allerdings deaktivieren, um weitergehende Funktionen einer PDF-Datei zu verwenden, riskieren sie das Ausführen von fremdem Code.

Anzeige

Genau auf diesen Safe Mode wollte sich Foxit Software laut der Zero Day Initiative ursprünglich verlassen und die Fehler der Javascript-Engine nicht beheben. Nach der Publizierung der Fehler sowie einem nicht gerade freundlichen Blogeintrag hat es sich Foxit allerdings anders überlegt. Die negative Publicity zeigte Wirkung. Die Zero Day Initiative nannte auch im Blogpost den Umstand, dass die Fehler im Safe Mode nicht ausgenutzt werden können, verwies aber darauf, dass man sich derzeit darauf verlässt, dass Angreifer keinen Weg finden, den Modus beim Angriff zu deaktivieren.

Es gibt zwar noch kein Datum, der Hersteller will aber in einer zukünftigen Version seiner PDF-Werkzeuge beide Fehler beheben. Foxit entschuldigt sich zudem für die vorangegangene Kommunikation und versichert, dass die Fehler zeitnah behoben würden. Zudem verweist Foxit auch bei der Stellungnahme für die Zero Day Initiative darauf, vorerst den sicheren Modus nicht zu verlassen. Auf seinen eigenen Webseiten oder Social-Media-Kanälen konnten wir einen derartigen Hinweis allerdings nicht finden, obwohl er sich anbietet. Vermutlich gibt es Informationen im Security-Bulletin-Bereich erst nach der Behebung der Fehler.


eye home zur Startseite
foho 22. Aug 2017

ja genau, ich meinte auch den hätte ich schon länger gehabt, aber 2010 kam er mir das...

Themenstart

mhstar 21. Aug 2017

FoxIT nötigt Benutzer zur Verwendung unsicherer Software. Denn behoben haben sie den Bug...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. über Hanseatisches Personalkontor Mannheim, Mannheim
  2. Rohde & Schwarz Cybersecurity GmbH, München, Köln, Berlin
  3. Robert Bosch GmbH, Böblingen
  4. LAWO Informationssysteme GmbH, Rastatt


Anzeige
Hardware-Angebote
  1. 17,82€+ 3€ Versand
  2. (reduzierte Überstände, Restposten & Co.)
  3. 6,99€

Folgen Sie uns
       


  1. Offene Konsole

    Ataribox entspricht Mittelklasse-PC mit Linux

  2. Autoversicherungen

    HUK-Coburg verlässt "relativ teure Vergleichsportale"

  3. RT-AC86U

    Asus-Router priorisiert Gaming-Pakete und kann 1024QAM

  4. CDN

    Cloudflare bietet lokale TLS-Schlüssel und mehr DDoS-Schutz

  5. Star Trek Discovery angeschaut

    Star Trek - Eine neue Hoffnung

  6. Gemeinde Egelsbach

    Telekom-Glasfaser in Gewerbegebiet findet schnell Kunden

  7. Microsoft

    Programme für Quantencomputer in Visual Studio entwickeln

  8. Arbeitsspeicher

    DDR5 nutzt Spannungsversorgung auf dem Modul

  9. Video-Pass

    Auch Vodafone führt Zero-Rating-Angebot ein

  10. Vernetztes Fahren

    Stiftung Warentest kritisiert Datenschnüffelei bei Auto-Apps



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Olympus Tough TG5 vs. Nikon Coolpix W300: Die Schlechtwetter-Kameras
Olympus Tough TG5 vs. Nikon Coolpix W300
Die Schlechtwetter-Kameras
  1. iZugar 220-Grad Fisheye-Objektiv für Micro Four Thirds vorgestellt
  2. Mobilestudio Pro 16 im Test Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  3. HP Z8 Workstation Mit 3 TByte RAM und 56 CPU-Kernen komplexe Bilder rendern

E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Unterwegs auf der Babymesse: "Eltern vibrieren nicht"
Unterwegs auf der Babymesse
"Eltern vibrieren nicht"
  1. Big Four Kundendaten von Deloitte offenbar gehackt
  2. Optimierungsprogramm Ccleaner-Malware sollte wohl Techkonzerne ausspionieren
  3. Messenger Wire-Server steht komplett unter Open-Source-Lizenz

  1. Re: Steam-Provision?

    theFiend | 18:19

  2. Re: Style over Substance Hardcore.

    Hotohori | 18:19

  3. Re: Cannabis

    BasAn | 18:19

  4. Re: Hoffentlich der Anfang vom Ende

    futureintray | 18:18

  5. AVX? Gäähnn.....

    Crass Spektakel | 18:18


  1. 17:20

  2. 17:00

  3. 16:44

  4. 16:33

  5. 16:02

  6. 15:20

  7. 14:46

  8. 14:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel