Die Software Nitro PDF Pro war unter anderem mittels schädlicher PDF-Dateien angreifbar. Die neueste Version umfasst zwei wichtige Sicherheitslücken-Fixes.
Forscher von Cisco Talos haben eine Sicherheitslücke in der kostenpflichtigen Software Nitro PDF Pro für Windows entdeckt. Angreifer hätten sie zur Codeausführung auf fremden Rechnern missbrauchen können – allerdings unter der Voraussetzung, dass ihr Opfer eine zu diesem Zweck speziell präparierte PDF-Datei in einer verwundbaren PDF Pro-Version auf dem Zielrechner öffnet.
Von der Sicherheitslücke mit der ID CVE-2021-21798 mit der Einstufung "High" (CVSS-Score 8.8) sind alle Nitro PDF Pro-Versionen bis einschließlich 13.47 betroffen. Ein Update auf eine neuere Version (aktuell ist laut
Ein
Die Einstufung als "Critical" im
Anwender sollten vor der Durchführung des Updates die in der
Forscher von Cisco Talos haben eine Sicherheitslücke in der kostenpflichtigen Software Nitro PDF Pro für Windows entdeckt. Angreifer hätten sie zur Codeausführung auf fremden Rechnern missbrauchen können – allerdings unter der Voraussetzung, dass ihr Opfer eine zu diesem Zweck speziell präparierte PDF-Datei in einer verwundbaren PDF Pro-Version auf dem Zielrechner öffnet.
Von der Sicherheitslücke mit der ID CVE-2021-21798 mit der Einstufung "High" (CVSS-Score 8.8) sind alle Nitro PDF Pro-Versionen bis einschließlich 13.47 betroffen. Ein Update auf eine neuere Version (aktuell ist laut
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
PDF Pro 13.49.2.993) schützt vor möglichen Angriffen, die bislang aber wohl noch nicht beobachtet wurden.Ein
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
sowie ein
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
liefern detaillierte technische Informationen zur Lücke.Kritischer Lücken-Fix: CVE-2018-1285
DerDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
zufolge wurde mit der Veröffentlichung von Version 13.49.2.993 noch eine zweite, ältere Sicherheitslücke geschlossen, die ebenfalls Nitro PDF bis inklusive 13.47 betraf. CVE-2018-1285 steckte in Drittanbieter-Code, nämlich in Apache log4net, wurde daraus allerdings
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Offenbar haben die Nitro-Entwicklerteam den veralteten log4net-Code in ihrer Software erst jetzt auf den neuesten Stand gebracht. Die Einstufung als "Critical" im
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
unterstreicht die Wichtigkeit eines zeitnahen PDF Pro-Updates. Laut Beschreibung hätten Angreifer mittels präparierter log4net-Konfigurationsdateien sogenannte XEE (XML external entity)-Angriffe auf den XML-Parser durchführen können. Welche Folgen ein solcher Angriff im Fall von Nitro Pro PDF haben könnte, bleibt offen. Generell sind mittels XEE-Angriffen aber etwa das Provozieren eines Absturzes (Denial-of-Service) oder das Abgreifen sensibler Dokumentinhalte denkbar.Anwender sollten vor der Durchführung des Updates die in der
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
genannten Vorbereitungen treffen.-
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
