Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Alert!: Nitro PDF Pro: Security-Update verhindert Codeausführung über präparierte PDFs

Die Software Nitro PDF Pro war unter anderem mittels schädlicher PDF-Dateien angreifbar. Die neueste Version umfasst zwei wichtige Sicherheitslücken-Fixes.
Forscher von Cisco Talos haben eine Sicherheitslücke in der kostenpflichtigen Software Nitro PDF Pro für Windows entdeckt. Angreifer hätten sie zur Codeausführung auf fremden Rechnern missbrauchen können – allerdings unter der Voraussetzung, dass ihr Opfer eine zu diesem Zweck speziell präparierte PDF-Datei in einer verwundbaren PDF Pro-Version auf dem Zielrechner öffnet.

Von der Sicherheitslücke mit der ID CVE-2021-21798 mit der Einstufung "High" (CVSS-Score 8.8) sind alle Nitro PDF Pro-Versionen bis einschließlich 13.47 betroffen. Ein Update auf eine neuere Version (aktuell ist laut Release-Notes-Übersicht des Herstellers PDF Pro 13.49.2.993) schützt vor möglichen Angriffen, die bislang aber wohl noch nicht beobachtet wurden.

Ein Blogeintrag des Cisco Talos-Teams sowie ein Talos Vulnerability Report zu CVE-2021-21798 liefern detaillierte technische Informationen zur Lücke.

Kritischer Lücken-Fix: CVE-2018-1285​

Der Sicherheitsupdate-Übersicht zu Nitro Pro zufolge wurde mit der Veröffentlichung von Version 13.49.2.993 noch eine zweite, ältere Sicherheitslücke geschlossen, die ebenfalls Nitro PDF bis inklusive 13.47 betraf. CVE-2018-1285 steckte in Drittanbieter-Code, nämlich in Apache log4net, wurde daraus allerdings bereits im September 2020 entfernt. Offenbar haben die Nitro-Entwicklerteam den veralteten log4net-Code in ihrer Software erst jetzt auf den neuesten Stand gebracht.

Die Einstufung als "Critical" im NVD-Eintrag zu CVE-2018-1285 unterstreicht die Wichtigkeit eines zeitnahen PDF Pro-Updates. Laut Beschreibung hätten Angreifer mittels präparierter log4net-Konfigurationsdateien sogenannte XEE (XML external entity)-Angriffe auf den XML-Parser durchführen können. Welche Folgen ein solcher Angriff im Fall von Nitro Pro PDF haben könnte, bleibt offen. Generell sind mittels XEE-Angriffen aber etwa das Provozieren eines Absturzes (Denial-of-Service) oder das Abgreifen sensibler Dokumentinhalte denkbar.
Anwender sollten vor der Durchführung des Updates die in der Sicherheitsupdate-Übersicht genannten Vorbereitungen treffen.

Quelle: heise
 
Zurück
Oben