Neue Sicherheitslücken in Nitro PDF Pro – letzter Patch kam 2017

  • TIPP

  • mad.de
  • 1470 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Neue Sicherheitslücken in Nitro PDF Pro – letzter Patch kam 2017

    Angreifer könnten mit manipulierten PDF-Dokumenten Schadcode auf Computer mit Nitro PDF Pro schieben. Ein Patch wurde bislang nur angekündigt.

    Sicherheitsforscher von Cisco Talos haben in der PDF-Anwendung Nitro PDF Pro für Windows sechs Sicherheitslücken entdeckt. Durch deren erfolgreiche Ausnutzung könnten Angreifer Schadcode auf Computer schieben und ausführen. Eine abgesicherte Version ist derzeit noch nicht verfügbar. Die Free-Ausgabe von Nitro PDF ist den Sicherheitsforschern zufolge nicht bedroht.

    Nitro PDF Pro kommt vor allem in Unternehmen zum Einsatz. Darunter beispielweise die österreichische Telekom und der deutsche Automobilzulieferer Contintental. Wie aus einem Bericht hervorgeht, hat Cisco Talos die Schwachstellen in der Version 12.12.1.522 entdeckt.

    Alle Lücken (CVE-2019-5045, CVE-2019-5046, CVE-2019-5047, CVE-2019-5048, CVE-2019-5050, CVE-2019-5053) sind mit dem Bedrohungsgrad "hoch" eingestuft. In allen Fällen muss ein Angreifer einem Opfer ein präpariertes PDF-Dokument unterschieben. Beim Öffnen kommt es zu einem Speicherfehler, was zur Ausführung von Schadcode führen kann.

    Responsible Disclosure erfüllt
    Den Sicherheitsforschen zufolge haben sie die Nitro-PDF-Entwickler im Mai 2019 kontaktiert und monatelang keine Antwort erhalten. Im August bekamen sie dann die Antwort, dass die erste Mail zu den Schwachstellen im Spam-Ordner gelandet ist. Im September versprachen die Entwickler dann die Lücken in einer kommenden Version zu schließen. Einen Zeitraum dafür nannten sie nicht. Das letzte Sicherheitsupdate gab es Ende 2017.

    Damit Hersteller vor der Offenlegung von Informationen über Sicherheitslücken Zeit zum Bereitstellen von Patches haben, sollten sich Sicherheitsforscher an den Responsible-Disclosure-Grundsatz halten. Das war hier der Fall und Cisco Talos hat nun nach dem Verstreichen der 90-Tage-Frist Details zu den Schwachstellen veröffentlicht.

    NitroPDF jpeg2000 ssizDepth Remote Code Execution Vulnerability
    NitroPDF Page Kids Remote Code Execution Vulnerability
    NitroPDF ICCBased Color Space Remote Code Execution Vulnerability
    NitroPDF jpeg2000 yTsiz Remote Code Execution Vulnerability
    NitroPDF CharProcs Remote Code Execution Vulnerability
    NitroPDF Stream Length Memory Corruption Vulnerability

    Quelle: Neue Sicherheitslücken in Nitro PDF Pro – letzter Patch kam 2017 | heise online