Noch kein Update

Sicherheitslücke in Foxit Reader entdeckt

Der als Alternative zum Adobe Reader beliebte PDF-Betrachter Foxit Reader enthält eine Schwachstelle im Browser-Plugin, über die beliebiger Code eingeschleust und ausgeführt werden kann.

Die Alternative zum Adobe Reader ist nicht vor Gefahren sicher. Im Foxit Reader wurde eine Sicherheitslücke entdeckt.

© Frank Ziemann

Die Alternative zum Adobe Reader ist nicht vor Gefahren sicher. Im Foxit Reader wurde eine Sicherheitslücke entdeckt.

Auch wenn der Hersteller Foxit Software seinen kostenlos erhältlichen PDF-Betrachter Foxit Reader als sichere Alternative zum Adobe Reader vermarktet, ist das Programm nicht vor Sicherheitslücken gefeit. So hat der italienische Sicherheitsforscher Andrea Micalizzi kürzlich eine ausnutzbare Schwachstelle im Foxit Plugin für Firefox (und andere Browser) entdeckt. Er hat auch gleich einen Demo-Exploit veröffentlicht.

Das dänische Sicherheitsunternehmen Secunia stuft die Sicherheitslücke als "highly critical" ein, die zweithöchste Stufe bei Secunia. Betroffen ist die aktuelle Version Foxit Reader 5.4.4.1128 und dessen Browser-Plugin (npFoxitReaderPlugin.dll Version 2.2.1.530). Vorversionen sind höchstwahrscheinlich ebenfalls anfällig.

Der Fehler liegt in der Behandlung sehr langer URLs, die an das Plugin übergeben werden. Dadurch kann es zu einem Pufferüberlauf kommen. Gelingt es einen Angreifer diese Lücke auszunutzen, kann er beliebigen Code einschleusen und ausführen.

Der Hersteller Foxit Software hat bislang noch keine Reaktion gezeigt. Eine korrigierte Version der Software ist noch nicht erhältlich. Bis zu deren Bereitstellung besteht der beste Schutz also darin das Browser-Plugin zu deaktivieren. Der Browser lädt PDF-Dateien dann herunter und Sie können sie lokal mit dem Foxit Reader öffnen.

Mehr zum Thema

Lexware Financial Office 2013 im Test.
Testbericht

Lexware Financial Office 2013 ist ein kaufmännisches Komplettpaket für kleine und mittelständische Unternehmen. Wir haben den Test.
Quicken Deluxe 2014 kostet eigentlich 60 Euro: Laden Sie jetzt kostenlos die Vollversion der Finanzsoftware herunter.
60 Euro geschenkt

Quicken Deluxe 2014 als Gratis-Download: Lexware und PC Magazin bieten Ihnen nur jetzt den 60-Euro-Finanzplaner kostenlos an: zuschlagen!
Zum Patch Day im Juni bringt Microsoft viele Updates für den Internet Explorer.
Patch Day im Juni

Am Patch Day am 10. Juni hat Microsoft sieben Security Bulletins veröffentlicht, die sich 66 Sicherheitslecks in Windows, Office und Internet…
Der vergangene Patch Day hat Office 2013 lahmgelegt.
Patch Day legt Office 2013 lahm

Microsofts Patch Day am 10. Juni hat Sicherheitslücken - vor allem im Internet-Explorer - geschlossen. Dafür macht Office 2013 Probleme.
Adobe-Logo
PDF-Lücken

Adobe hat mit einer Woche Verspätung seine PDF-Produkte Reader und Acrobat aktualisiert, um acht teils als kritisch eingestufte Sicherheitslücken zu…