Digital Eliteboard - Das große Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Alert!: Nitro PDF Pro: Security-Update verhindert Codeausführung über präparierte PDFs

Die Software Nitro PDF Pro war unter anderem mittels schädlicher PDF-Dateien angreifbar. Die neueste Version umfasst zwei wichtige Sicherheitslücken-Fixes.
Forscher von Cisco Talos haben eine Sicherheitslücke in der kostenpflichtigen Software Nitro PDF Pro für Windows entdeckt. Angreifer hätten sie zur Codeausführung auf fremden Rechnern missbrauchen können – allerdings unter der Voraussetzung, dass ihr Opfer eine zu diesem Zweck speziell präparierte PDF-Datei in einer verwundbaren PDF Pro-Version auf dem Zielrechner öffnet.

Von der Sicherheitslücke mit der ID CVE-2021-21798 mit der Einstufung "High" (CVSS-Score 8.8) sind alle Nitro PDF Pro-Versionen bis einschließlich 13.47 betroffen. Ein Update auf eine neuere Version (aktuell ist laut
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
PDF Pro 13.49.2.993) schützt vor möglichen Angriffen, die bislang aber wohl noch nicht beobachtet wurden.

Ein
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
sowie ein
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
liefern detaillierte technische Informationen zur Lücke.

Kritischer Lücken-Fix: CVE-2018-1285​

Der
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
zufolge wurde mit der Veröffentlichung von Version 13.49.2.993 noch eine zweite, ältere Sicherheitslücke geschlossen, die ebenfalls Nitro PDF bis inklusive 13.47 betraf. CVE-2018-1285 steckte in Drittanbieter-Code, nämlich in Apache log4net, wurde daraus allerdings
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
. Offenbar haben die Nitro-Entwicklerteam den veralteten log4net-Code in ihrer Software erst jetzt auf den neuesten Stand gebracht.

Die Einstufung als "Critical" im
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
unterstreicht die Wichtigkeit eines zeitnahen PDF Pro-Updates. Laut Beschreibung hätten Angreifer mittels präparierter log4net-Konfigurationsdateien sogenannte XEE (XML external entity)-Angriffe auf den XML-Parser durchführen können. Welche Folgen ein solcher Angriff im Fall von Nitro Pro PDF haben könnte, bleibt offen. Generell sind mittels XEE-Angriffen aber etwa das Provozieren eines Absturzes (Denial-of-Service) oder das Abgreifen sensibler Dokumentinhalte denkbar.
Anwender sollten vor der Durchführung des Updates die in der
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
genannten Vorbereitungen treffen.

Quelle: heise
 
Oben