Nieuws
image

Foxit Reader patcht onpatchbaar PDF-lek

woensdag 31 maart 2010, 12:01 door Redactie, 15 reacties

Foxit Reader gaat het "onpatchbare" lek in de PDF-lezer toch patchen, zo laat ontwikkelaar Foxit Software weten. Gisteren publiceerde de Belgische beveiligingsonderzoeker Didier Stevens een proof-of-concept die een ingebed uitvoerbaar bestand automatisch liet uitvoeren bij het openen van een PDF-bestand. Adobe Reader gaf in dit geval een waarschuwing, die een aanvaller deels kon manipuleren, maar Foxit Reader liet helemaal niets merken.

Onpatchbaar
In eerste instantie werkte de exploit van Stevens niet tegen Foxit Reader, maar met hulp van onderzoeker Riotz, heeft hij nu een nieuwe, werkende versie gelanceerd. Die opent zonder enige interactie van de gebruiker het ingebedde uitvoerbare bestand. "En nu gaat Foxit Reader voor de bijl", zo laat Stevens aan Security.nl weten.

In eerste instantie omschreef de Belg zijn aanval als "onpatchbaar", omdat er geen lek werd misbruikt. Toch zegt Foxit Software dat het deze week een update voor de PDF-lezer klaar heeft.

Reacties (15)
31-03-2010, 12:17 door Anoniem
lol, het was al een jaar bekend, en nu gaan ze ineens patchen. Leuk he, publiciteit..
31-03-2010, 12:23 door Anoniem
Daar ben ik heel blij mee. Terug naar dat overdreven uit zijn jas gegroeide, logge en onveilige Adobe is geen optie.
31-03-2010, 12:41 door Anoniem
Ze bedoelen zeker zoals Adobe een waarschuwing erin maken voor de feature :)
31-03-2010, 12:45 door Bitwiper
Foxit kent een registervariabele LaunchWarn (string) met default de waarde "1", en hoewel deze bij het opstarten van Foxit Reader lijkt te worden ingelezen, heeft deze geen invloed op het starten van cmd.exe. Misschien gaat het hier om een bug die eenvoudig te fixen is. In elk geval goed dat Foxit hier wat aan doet!
31-03-2010, 12:49 door Anoniem
Ze zijn in ieder geval sneller met patchen dan Adobe, die gerust een maand of 2-3 wacht met een patch.
31-03-2010, 13:23 door Spiff has left the building
Ik ben benieuwd hoe Foxit gaat patchen.
Gaat Foxit Reader slechts ook een waarschuwing geven, zoals momenteel Adobe Reader en PDF-XChange Viewer, of gaat Foxit dat automatisch uitvoeren van een ingebed uitvoerbaar bestand geheel onmogelijk maken?
Dat laatste zou keurig zijn, en Foxit Reader zou wat dat aspect dan een pre hebben boven Adobe Reader en PDF-XChange Viewer.

Overigens ben ik erg benieuwd of ook Tracker Software de PDF-XChange Viewer mogelijk gaat aanpassen, om dat automatisch uitvoeren van een ingebed uitvoerbaar bestand geheel onmogelijk te maken, in plaats van alleen een waarschuwing te geven zoals nu. In dat geval komt PDF-XChange Viewer op nummer 1 voor me.
31-03-2010, 14:09 door Skizmo
Lekken in PDF blijven een ingebed zonder einde.
31-03-2010, 15:24 door Anoniem
waarom zou je uberhaupt een applicatie willen lauchen vanuit een pdf bestand. Ik vind dat ze die gehele functionaliteit eruit moeten slopen.
31-03-2010, 16:13 door [Account Verwijderd]
[Verwijderd]
31-03-2010, 16:14 door [Account Verwijderd]
[Verwijderd]
31-03-2010, 17:20 door Anoniem
Door Anoniem: waarom zou je uberhaupt een applicatie willen lauchen vanuit een pdf bestand. Ik vind dat ze die gehele functionaliteit eruit moeten slopen.

Helemaal mee eens. Wat is het nut ervan? Ik zie geen toegevoegde waarde. Sterker nog; de P van PDF verliest hierdoor gelijk zijn waarde. Het is niet meer Portable zoals het ooit bedoeld was. Een .exe uit laten voeren op een niet Windows geënt platform gaat toch echt niet werken....weg is de P!
31-03-2010, 20:03 door cyberpunk
Misschien toch maar eens van Foxit Reader overstappen naar PDF-XChange Viewer... :-?
31-03-2010, 20:30 door Spiff has left the building
Door cyberpunk: Misschien toch maar eens van Foxit Reader overstappen naar PDF-XChange Viewer... :-?
Heb ik gisteren gedaan, het is een mooi programma.
Sumatra PDF is te spartaans voor mijn behoeften.

PDF-XChange Viewer heeft het mijns inziens echter wel nodig de balken te ontdoen van de opties die ik niet nodig heb, om ruimte terug te winnen. Scheelt netto twee balken in het venster.

En realiseer je overigens goed dat PDF-XChange Viewer in essentie gevoelig is voor het betreffende lek waar we het hier over hebben. PDF-XChange Viewer geeft wel een melding, en je kunt uitvoering weigeren, maar beter lijkt het me wanneer een programma helemaal geen ruimte biedt aan het automatisch uitvoeren van een ingebed uitvoerbaar bestand.

Zou Foxit dat automatisch uitvoeren van een ingebed uitvoerbaar bestand helemaal onmogelijk gaan maken, niet slechts een waarschuwingssysteem gaan inbouwen zoals in Adobe Reader en PDF-XChange Viewer, dan zou Foxit Reader mijn voorkeur weer krijgen. PDF-XChange Viewer houd ik dan als tweede, voor de zaken die ik met Foxit Reader niet kan doen.

Zou Tracker Software de PDF-XChange Viewer mogelijk gaat aanpassen, om dat automatisch uitvoeren van een ingebed uitvoerbaar bestand geheel onmogelijk te maken, in plaats van alleen een waarschuwing te geven zoals nu, dan komt PDF-XChange Viewer opnieuw op nummer 1 voor me.
01-04-2010, 01:28 door Bitwiper
Door Anoniem:
Door Anoniem: waarom zou je uberhaupt een applicatie willen lauchen vanuit een pdf bestand. Ik vind dat ze die gehele functionaliteit eruit moeten slopen.
Helemaal mee eens. Wat is het nut ervan? Ik zie geen toegevoegde waarde. Sterker nog; de P van PDF verliest hierdoor gelijk zijn waarde. Het is niet meer Portable zoals het ooit bedoeld was. Een .exe uit laten voeren op een niet Windows geënt platform gaat toch echt niet werken....weg is de P!
Voordat je denkt dat je safe bent met Mac OSX of met Linux, uit http://www.adobe.com/devnet/acrobat/pdfs/PDF32000_2008.pdf:
12.6.4.5 Launch Actions

A launch action launches an application or opens or prints a document. Table 203 shows the action dictionary entries specific to this type of action.

The optional Win, Mac, and Unix entries allow the action dictionary to include platform-specific parameters for launching the designated application. [...]
01-04-2010, 10:38 door Anoniem
Door Bitwiper:
Door Anoniem:
Door Anoniem: waarom zou je uberhaupt een applicatie willen lauchen vanuit een pdf bestand. Ik vind dat ze die gehele functionaliteit eruit moeten slopen.
Helemaal mee eens. Wat is het nut ervan? Ik zie geen toegevoegde waarde. Sterker nog; de P van PDF verliest hierdoor gelijk zijn waarde. Het is niet meer Portable zoals het ooit bedoeld was. Een .exe uit laten voeren op een niet Windows geënt platform gaat toch echt niet werken....weg is de P!
Voordat je denkt dat je safe bent met Mac OSX of met Linux, uit http://www.adobe.com/devnet/acrobat/pdfs/PDF32000_2008.pdf:
12.6.4.5 Launch Actions

A launch action launches an application or opens or prints a document. Table 203 shows the action dictionary entries specific to this type of action.

The optional Win, Mac, and Unix entries allow the action dictionary to include platform-specific parameters for launching the designated application. [...]

Nope Bitwiper. Ik denk zeker niet dat ik, omdat ik OSX en Debian draai, beter af ben. Het gaat mij om het feit dat er functionaliteit in een applicatie gestopt wordt welke eigenlijk helemaal er niet in thuishoort en sterker nog het Portable zijn van de Documenten opeens helemaal niet meer portable maakt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure