Das von vielen KMUs als Alternative eingesetzte PDF-Tools Foxit-Reader hat eine hochgefährliche Schwachstelle mit einem CVSS-Wert 8.8 von 10. Laut BSI ist neben dem Reader auch das Editor-Modul betroffen in der Mac- und Windows-Version.
Viele KMUs gingen dem PDF-Schwachstellen-Problem aus dem Weg die ständig bei Adobe Acrobat auftraten, indem sie zu PDF-Reader und Editor-Alternativen wechselten. Eine beliebte Alternative ist der Foxit-Reader. Aber auch hier muss der Hersteller nun eine hochgefährliche Sicherheitslücke bestätigen vor der auch das BSI – das Bundesamt für Sicherheit in der Informationstechnik – warnt. Es sind die Versionen für MacOS und auch Windows betroffen.
BSI warnt vor der Schwachstelle
Laut der BSI-Beschreibung kann ein entfernter, anonymer Angreifer mehrere Schwachstellen in Foxit PDF Editor und Foxit Reader ausnutzen, um beliebigen Code auszuführen, seine Privilegien zu erhöhen, einen Denial-of-Service-Zustand zu erzeugen oder vertrauliche Informationen preisgeben. Der Hersteller Foxit umschreibt die Schwachstelle so: „Es wurden potenzielle Probleme behoben, bei denen die Anwendung einer Use-After-Free-Schwachstelle ausgesetzt sein und abstürzen könnte, wenn bestimmte Kontrollkästchen-Feldobjekte, Anmerkungsobjekte oder AcroForms verarbeitet werden, was Angreifer ausnutzen könnten, um Remotecode auszuführen oder Informationen offenzulegen. Dies tritt auf, wenn die Anwendung einen wilden Zeiger oder ein Objekt verwendet, das ohne angemessene Validierung freigegeben wurde, es nicht richtig synchronisiert die Anmerkungselemente beim Umgang mit der Antwortnotiz einer Anmerkung mittels JavaScript, oder es versäumt, den Schriftartencache nach dem Löschen einer Seite korrekt zu aktualisieren.“
Der Hersteller gibt als Fehler dazu gleich eine ganze Liste an beschreibenden CVEs an: CVE-2024-28888, CVE-2024-9243, CVE-2024-9246, CVE-2024-9250, CVE-2024-9252, CVE-2024-9253, CVE-2024-9251, CVE-2024-9254, CVE-2024-9255, CVE-2024-9256.
Update steht bereit
Der Hersteller gibt keine Patches für die Probleme heraus, sondern lässt die Nutzer die komplette Programmversion neu installieren in der dann die Schwachstellen gefixt sind. Dazu können Nutzer entweder innerhalb der Software nach Updates suchen lassen oder sie laden sich die neue sichere Version von der Security-Advisory-Seite herunter.
Betroffene Windows-Versionen
- Foxit PDF Reader 2024.2.3.25184 und früher
- Foxit PDF Editor 2024.2.3.25184 und alle früheren 2024.x-Versionen, 2023.3.0.23028 und alle früheren 2023.x-Versionen, 13.1.3.22478 und alle früheren 13.x-Versionen, 12.1.7.15526 und alle früheren 12.x-Versionen, 11.2.10.53951 und früher
Betroffene Mac-Versionen
- Foxit PDF Editor for Mac 13.1.2.622011 und alle früheren 13.x-Versionen, 12.1.5.55449 und alle früheren 12.x-Versionen, 11.1.9.0524 und früher
Über das Bundesamt für Sicherheit in der Informationstechnik (BSI) Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Das Leitbild: Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.