Sicherheitsforscher von Cisco Talos haben in der PDF-Anwendung Nitro PDF Pro für Windows sechs Sicherheitslücken entdeckt. Durch deren erfolgreiche Ausnutzung könnten Angreifer Schadcode auf Computer schieben und ausführen. Eine abgesicherte Version ist derzeit noch nicht verfügbar. Die Free-Ausgabe von Nitro PDF ist den Sicherheitsforschern zufolge nicht bedroht. Nitro PDF Pro kommt vor allem in Unternehmen zum Einsatz. Darunter beispielweise die österreichische Telekom und der deutsche Automobilzulieferer Contintental. Wie aus einem Bericht hervorgeht, hat Cisco Talos die Schwachstellen in der Version 12.12.1.522 entdeckt. Alle Lücken (CVE-2019-5045, CVE-2019-5046, CVE-2019-5047, CVE-2019-5048, CVE-2019-5050, CVE-2019-5053) sind mit dem Bedrohungsgrad "hoch" eingestuft. In allen Fällen muss ein Angreifer einem Opfer ein präpariertes PDF-Dokument unterschieben. Beim Öffnen kommt es zu einem Speicherfehler, was zur Ausführung von Schadcode führen kann. Responsible Disclosure erfüllt Den Sicherheitsforschen zufolge haben sie die Nitro-PDF-Entwickler im Mai 2019 kontaktiert und monatelang keine Antwort erhalten. Im August bekamen sie dann die Antwort, dass die erste Mail zu den Schwachstellen im Spam-Ordner gelandet ist. Im September versprachen die Entwickler dann die Lücken in einer kommenden Version zu schließen. Einen Zeitraum dafür nannten sie nicht. Das letzte Sicherheitsupdate gab es Ende 2017. Damit Hersteller vor der Offenlegung von Informationen über Sicherheitslücken Zeit zum Bereitstellen von Patches haben, sollten sich Sicherheitsforscher an den Responsible-Disclosure-Grundsatz halten. Das war hier der Fall und Cisco Talos hat nun nach dem Verstreichen der 90-Tage-Frist Details zu den Schwachstellen veröffentlicht. (des) Zur Startseite Neue Sicherheitslücken in Nitro PDF Pro – letzter Patch kam 2017
- Details
- Heise RSS Feed
- Hauptkategorie: IT News aus aller Welt
- Kategorie: Sicherheitsinfos
Sicherheitsforscher von Cisco Talos haben in der PDF-Anwendung Nitro PDF Pro für Windows sechs Sicherheitslücken entdeckt. Durch deren erfolgreiche Ausnutzung könnten Angreifer Schadcode auf Computer schieben und ausführen. Eine abgesicherte Version ist derzeit noch nicht verfügbar. Die Free-Ausgabe von Nitro PDF ist den Sicherheitsforschern zufolge nicht bedroht. Nitro PDF Pro kommt vor allem in Unternehmen zum Einsatz. Darunter beispielweise die österreichische Telekom und der deutsche Automobilzulieferer Contintental. Wie aus einem Bericht hervorgeht, hat Cisco Talos die Schwachstellen in der Version 12.12.1.522 entdeckt. Alle Lücken (CVE-2019-5045, CVE-2019-5046, CVE-2019-5047, CVE-2019-5048, CVE-2019-5050, CVE-2019-5053) sind mit dem Bedrohungsgrad "hoch" eingestuft. In allen Fällen muss ein Angreifer einem Opfer ein präpariertes PDF-Dokument unterschieben. Beim Öffnen kommt es zu einem Speicherfehler, was zur Ausführung von Schadcode führen kann. Responsible Disclosure erfüllt Den Sicherheitsforschen zufolge haben sie die Nitro-PDF-Entwickler im Mai 2019 kontaktiert und monatelang keine Antwort erhalten. Im August bekamen sie dann die Antwort, dass die erste Mail zu den Schwachstellen im Spam-Ordner gelandet ist. Im September versprachen die Entwickler dann die Lücken in einer kommenden Version zu schließen. Einen Zeitraum dafür nannten sie nicht. Das letzte Sicherheitsupdate gab es Ende 2017. Damit Hersteller vor der Offenlegung von Informationen über Sicherheitslücken Zeit zum Bereitstellen von Patches haben, sollten sich Sicherheitsforscher an den Responsible-Disclosure-Grundsatz halten. Das war hier der Fall und Cisco Talos hat nun nach dem Verstreichen der 90-Tage-Frist Details zu den Schwachstellen veröffentlicht. (des) Zur Startseite - Zugriffe: 232