Abo
  • Services:

Alternativer PDF-Reader: ZDI nötigt Foxit zum Patchen von Sicherheitslücken

Ursprünglich wollte Foxit Software zwei von der Zero Day Initiative entdeckte Sicherheitslücken in seiner PDF-Software nicht schließen, schließlich hat die Software einen Safe Mode, der das Ausführen von Javascript unterbindet. Nach einem Blogeintrag der Initiative hat es sich Foxit anders überlegt.

Artikel veröffentlicht am ,
Zwei Sicherheitslücken erlauben die Ausführung von Schadcode außerhalb des Safe Reading Mode.
Zwei Sicherheitslücken erlauben die Ausführung von Schadcode außerhalb des Safe Reading Mode. (Bild: Foxit Software)

Zwei von der Zero Day Initiative im Mai und Juni 2017 an Foxit gemeldete Sicherheitslücken in der gleichnamigen alternativen PDF-Software werden vom Hersteller demnächst geschlossen. Eine unmittelbare Gefahr für Anwender besteht nicht, sofern sie bei der Verwendung von PDF-Dateien den Safe Reading Mode nicht deaktivieren. Sollten Anwender den Modus allerdings deaktivieren, um weitergehende Funktionen einer PDF-Datei zu verwenden, riskieren sie das Ausführen von fremdem Code.

Stellenmarkt
  1. Bundesanstalt für Straßenwesen, Bergisch Gladbach
  2. Alfred Kärcher SE & Co. KG, Winnenden

Genau auf diesen Safe Mode wollte sich Foxit Software laut der Zero Day Initiative ursprünglich verlassen und die Fehler der Javascript-Engine nicht beheben. Nach der Publizierung der Fehler sowie einem nicht gerade freundlichen Blogeintrag hat es sich Foxit allerdings anders überlegt. Die negative Publicity zeigte Wirkung. Die Zero Day Initiative nannte auch im Blogpost den Umstand, dass die Fehler im Safe Mode nicht ausgenutzt werden können, verwies aber darauf, dass man sich derzeit darauf verlässt, dass Angreifer keinen Weg finden, den Modus beim Angriff zu deaktivieren.

Es gibt zwar noch kein Datum, der Hersteller will aber in einer zukünftigen Version seiner PDF-Werkzeuge beide Fehler beheben. Foxit entschuldigt sich zudem für die vorangegangene Kommunikation und versichert, dass die Fehler zeitnah behoben würden. Zudem verweist Foxit auch bei der Stellungnahme für die Zero Day Initiative darauf, vorerst den sicheren Modus nicht zu verlassen. Auf seinen eigenen Webseiten oder Social-Media-Kanälen konnten wir einen derartigen Hinweis allerdings nicht finden, obwohl er sich anbietet. Vermutlich gibt es Informationen im Security-Bulletin-Bereich erst nach der Behebung der Fehler.



Anzeige
Top-Angebote
  1. 399,00€ (Wert der Spiele rund 212,00€)
  2. (u. a. Pro Evolution Soccer 2019 8,50€, Styx: Shards of Darkness 9,99€)
  3. (u. a. Far Cry New Dawn 22,49€, Assassin's Creed Odyssey 29,99€)
  4. 62,90€

foho 22. Aug 2017

ja genau, ich meinte auch den hätte ich schon länger gehabt, aber 2010 kam er mir das...

mhstar 21. Aug 2017

FoxIT nötigt Benutzer zur Verwendung unsicherer Software. Denn behoben haben sie den Bug...


Folgen Sie uns
       


Cinebench R20 auf Threadripper 2950X ausprobiert

Cinebench R20 soll mit bis zu 256 Threads umgehen können.

Cinebench R20 auf Threadripper 2950X ausprobiert Video aufrufen
Windenergie: Mister Windkraft will die Welt vor dem Klimakollaps retten
Windenergie
Mister Windkraft will die Welt vor dem Klimakollaps retten

Fast 200 Windkraft-Patente tragen den Namen von Henrik Stiesdal. Nachdem er bei Siemens als Technikchef ausgestiegen ist, will der Däne nun die Stromerzeugung auf See revolutionieren.
Ein Bericht von Daniel Hautmann

  1. Offshore-Windparks Neue Windräder sollen mehr Strom liefern
  2. Fistuca Der Wasserhammer hämmert leise
  3. Windenergie Wie umweltfreundlich sind Offshore-Windparks?

Chrome OS Crostini angesehen: Dieses Nerd-Unix läuft wie geschnitten Brot
Chrome OS Crostini angesehen
Dieses Nerd-Unix läuft wie geschnitten Brot

Mit Crostini bringt Google nun auch eine echte Linux-Umgebung auf Chromebooks, die dafür eigentlich nie vorgesehen waren. Google kann dafür auf ein echtes Linux-System und sehr viel Erfahrung zurückgreifen. Der Nutzung als Entwicklerkiste steht damit fast nichts mehr im Weg.
Von Sebastian Grüner

  1. Google Chromebooks bekommen virtuelle Arbeitsflächen
  2. Crostini VMs in Chromebooks bekommen GPU-Beschleunigung
  3. Crostini Linux-Apps für ChromeOS kommen für andere Distributionen

Einfuhrsteuern: Wie teuer wird ein Raspberry Pi beim harten Brexit?
Einfuhrsteuern
Wie teuer wird ein Raspberry Pi beim harten Brexit?

Bei einem No-Deal-Brexit könnten viele britische Produkte teurer und schwerer lieferbar werden - auch der populäre Bastelrechner Raspberry Pi. Mit genauen Prognosen tun sich deutsche Elektronikhändler derzeit schwer, doch decken sie sich schon vorsorglich mit den Komponenten ein.
Ein Bericht von Friedhelm Greis

  1. UK und Gibraltar EU-Domains durch Brexit doch wieder in Gefahr

    •  /