Abo
  • IT-Karriere:

Alternativer PDF-Reader: ZDI nötigt Foxit zum Patchen von Sicherheitslücken

Ursprünglich wollte Foxit Software zwei von der Zero Day Initiative entdeckte Sicherheitslücken in seiner PDF-Software nicht schließen, schließlich hat die Software einen Safe Mode, der das Ausführen von Javascript unterbindet. Nach einem Blogeintrag der Initiative hat es sich Foxit anders überlegt.

Artikel veröffentlicht am ,
Zwei Sicherheitslücken erlauben die Ausführung von Schadcode außerhalb des Safe Reading Mode.
Zwei Sicherheitslücken erlauben die Ausführung von Schadcode außerhalb des Safe Reading Mode. (Bild: Foxit Software)

Zwei von der Zero Day Initiative im Mai und Juni 2017 an Foxit gemeldete Sicherheitslücken in der gleichnamigen alternativen PDF-Software werden vom Hersteller demnächst geschlossen. Eine unmittelbare Gefahr für Anwender besteht nicht, sofern sie bei der Verwendung von PDF-Dateien den Safe Reading Mode nicht deaktivieren. Sollten Anwender den Modus allerdings deaktivieren, um weitergehende Funktionen einer PDF-Datei zu verwenden, riskieren sie das Ausführen von fremdem Code.

Stellenmarkt
  1. Hays AG, Raum Herrenberg
  2. WSW Wuppertaler Stadtwerke GmbH, Wuppertal

Genau auf diesen Safe Mode wollte sich Foxit Software laut der Zero Day Initiative ursprünglich verlassen und die Fehler der Javascript-Engine nicht beheben. Nach der Publizierung der Fehler sowie einem nicht gerade freundlichen Blogeintrag hat es sich Foxit allerdings anders überlegt. Die negative Publicity zeigte Wirkung. Die Zero Day Initiative nannte auch im Blogpost den Umstand, dass die Fehler im Safe Mode nicht ausgenutzt werden können, verwies aber darauf, dass man sich derzeit darauf verlässt, dass Angreifer keinen Weg finden, den Modus beim Angriff zu deaktivieren.

Es gibt zwar noch kein Datum, der Hersteller will aber in einer zukünftigen Version seiner PDF-Werkzeuge beide Fehler beheben. Foxit entschuldigt sich zudem für die vorangegangene Kommunikation und versichert, dass die Fehler zeitnah behoben würden. Zudem verweist Foxit auch bei der Stellungnahme für die Zero Day Initiative darauf, vorerst den sicheren Modus nicht zu verlassen. Auf seinen eigenen Webseiten oder Social-Media-Kanälen konnten wir einen derartigen Hinweis allerdings nicht finden, obwohl er sich anbietet. Vermutlich gibt es Informationen im Security-Bulletin-Bereich erst nach der Behebung der Fehler.



Anzeige
Top-Angebote
  1. 44,90€ (Bestpreis!)
  2. (u. a. Assassin's Creed Odyssey für 24,99€, Monster Hunter World - EU Key für 30,49€)
  3. (u. a. Powerbanks ab 22,49€, 5-Port-Powerport für 26,39€)
  4. 53,99€ (Release am 27. August)

foho 22. Aug 2017

ja genau, ich meinte auch den hätte ich schon länger gehabt, aber 2010 kam er mir das...

mhstar 21. Aug 2017

FoxIT nötigt Benutzer zur Verwendung unsicherer Software. Denn behoben haben sie den Bug...


Folgen Sie uns
       


Mordhau Gameplay

Klirrende Klingen und packende Kämpfe mit bis zu 64 Spielern bietet das in einem mittelalterlichen Szenario angesiedelte Actionspiel Mordhau.

Mordhau Gameplay Video aufrufen
Mobile-Games-Auslese: Games-Kunstwerke für die Hosentasche
Mobile-Games-Auslese
Games-Kunstwerke für die Hosentasche

Cultist Simulator, Photographs, Dungeon Warfare 2 und mehr: Diesen Monat lockt eine besonders hochkarätige Auswahl an kniffligen, gruseligen und komplexen Games an die mobilen Spielgeräte.
Von Rainer Sigl

  1. Spielebranche Auch buntes Spieleblut ist in China künftig verboten
  2. Remake Agent XIII kämpft wieder um seine Identität
  3. Workers & Resources im Test Vorwärts immer, rückwärts nimmer

Das andere How-to: Deutsch lernen für Programmierer
Das andere How-to
Deutsch lernen für Programmierer

Programmierer schlagen sich ständig mit der Syntax und Semantik von Programmiersprachen herum. Der US-Amerikaner Mike Stipicevic hat aus der Not eine Tugend gemacht und nutzt sein Wissen über obskure Grammatiken, um Deutsch zu lernen.
Von Mike Stipicevic

  1. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
  2. Software-Entwickler Welche Programmiersprache soll ich lernen?

Katamaran Energy Observer: Kaffee zu kochen heißt, zwei Minuten später anzukommen
Katamaran Energy Observer
Kaffee zu kochen heißt, zwei Minuten später anzukommen

Schiffe müssen keine Dreckschleudern sein: Victorien Erussard und Jérôme Delafosse haben ein Boot konstruiert, das ohne fossilen Treibstoff auskommt. Es kann sogar auf hoher See selbst Treibstoff aus Meerwasser gewinnen. Auf ihrer Tour um die Welt wirbt die Energy Observer für erneuerbare Energien.
Ein Bericht von Werner Pluta

  1. Umweltschutz Kanäle in NRW bekommen Ladesäulen für Binnenschiffe
  2. Transport DLR plant Testfeld für autonome Schiffe in Brandenburg
  3. C-Enduro Britische Marine testet autonomes Wasserfahrzeug

    •  /