Sicherheitslücke im Firefox-Plug-in des Foxit PDF Reader entdeckt

BrowserSicherheitSicherheitsmanagementWorkspace

Die Schwachstelle findet sich nicht im PDF-Reader selbst, sondern inm Plug-in für die Integration in Firefox. Um sie auszunutzen, müssen nicht einmal PDFs geöffnet werden, ein präparierter Link reicht aus. Ein Patch steht noch aus, aber es reicht, das Plug-in zu deaktivieren und PDFs über das Programm aufzurufen.

Der italienische Sicherheitsforscher Andrea Micalizzi hat eine Schwachstelle in der aktuellen Version des Firefox-Plug-ins Foxit PDF gefunden. Er hat den Exploit dafür zwar nicht veröffentlicht, anderen Experten, etwa Sophos-Mitarbeiter Paul Ducklin, ist es aber gelungen, den Angriff nachzuvollziehen. Ducklin nutzte dafür Firefox 18.0 mit der Version 2.2.1.530 des Foxit-Plug-ins und Windows XP Service Pack 3 als Betriebssystem. Er konnte durch einen Stack Overflow einen Absturz auslösen und Daten in einen Speicherbereich seiner Wahl Schreiben. “Das ist nicht gut”, kommentiert in der für Briten typischen trockenen Art.

Foxit bewirbt seinen PDF-Reader – wohl vor allem eingedenk der Probleme, dei Nutzer mit dem Adobe-Pendant in den vergangenen Jahren hatten – als sichere Plattform, die sorgenfreien Betrieb gewährleiste. Im Licht von Micalizzis Entdeckung erscheint das nun etwas hoch gegriffen.

Und in der Zukunft könnte es noch schwieriger werden, diesem Anspruch gerecht zu werden, gibt Ducklin zu bedenken: Adobe habe es mit der Sandbox in Reader X Bösewichtern und Sicherheitsforschern gleichermaßen deutlich schwerer gemacht, Lücken zu finden.

Er erwartet daher, dass sich Angreifer auch umschauen, wie sie ihre Ziele über die Produkte andere Anbieter von PDF-Software erreichen können. Produkte wie das von Foxit, das nach Angaben des Herstellers weltweit über 130 millionen Mal eingesetzt wird und das seit dem Investment vonAmazon in die Firma auch im Kindle zum Einsatz kommt, sind da durchaus ein lohnenswertes Ziel.

Sofort über Bord zu werfen braucht Foxit seinen Claim jedoch nicht. Der Bug findet sich laut Ducklin nämlich nicht im PDF-Reader selbst, sondern in der Datei npFoxitReaderPlugin.dll- – und die dient als Verbindungsglied zwischen Browser und Reader. Pikantes Detail dabei: np im Dateinamen steht für “Netscape Plug-in http://en.wikipedia.org/wiki/NPAPI”, eine Plug-in-Architektur, die an in die guten Zeiten des Netscape Navigators erinnert. Und, jetzt kommt´s: Ursprünglich wurden diese Plug-ins für Netscape von niemand anders als Adobe Systems geschrieben.

Daher muss auch Foxit nicht einmal mit einem Malware-verseuchten PDF konfrontiert werden, um einen Absturz hervorzurufen, es reicht ein Link auf eine Seite, die sich als in der http-Antwort als PDF ausgibt. Laut Ducklin wird der Buffer Overflow im Code erzeugt, der den Link bearbeitet, und zwar durch einen überlangen Query String.

Foxit hat in seinen Sicherheitshinweisen derzeit noch nicht zu dem Vorfall Stellung genommen. Nutzer müssen nicht zwangsweise auf einen anderen PDF-Reader wechseln: Es reicht, das Firefox Plug-in abzuschalten. Dazu müssen Nutzer im Firefox-Menü Tools / Add-ons und dort den Plug-ins-Tab auswählen. PDF-Dateien werden dann nicht mehr im Browser geöffnet, sondern erst nach Klick auf einen Okay-Button in einem Pop-up.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen