PDF-lek in Foxit Reader "gepatcht"
Foxit Software heeft een patch uitgebracht voor een lek in Foxit Reader, waardoor malware automatisch werd uitgevoerd bij het openen van PDF-bestanden. Het gaat om de kwetsbaarheid die de Belgische beveiligingsonderzoeker Didier Stevens ontdekte. Hij wist uitvoerbare bestanden in PDF-bestanden in te bedden, die vervolgens zonder waarschuwing aan de gebruiker werden uitgevoerd.
Ook Adobe Reader heeft met het probleem te maken, maar daar verschijnt nog een waarschuwing. De tekst is hierbij deels door de aanvaller te manipuleren. Aangezien het uitvoeren van ingebedde uitvoerbare bestanden deel van de PDF specificatie is, heeft Foxit Software nu een waarschuwing toegevoegd, die de gebruiker vraagt of het bestand moet worden uitgevoerd of niet. "Deze oplossing voegt een beveiligingslaag toe en zorgt ervoor dat Foxit Reader aan de huidige PDF standaarden blijft voldoen", aldus de ontwikkelaar.
Patch
Gebruikers van Foxit Reader krijgen het advies te updaten naar versie 3.2.1.0401, waarin het probleem verholpen is. Updaten kan via de PDF-lezer of Foxitsoftware.com.
http://forums.foxitsoftware.com//announcement.php?f=3
Die verwees gelijk naar de juiste download- pagina voor Foxit Reader 3.2.1.401:
http://www.foxitsoftware.com/downloads/index.php
http://www.foxitsoftware.com/pdf/reader/reader-interstitial.html
en ook http://www.foxitsoftware.com/pdf/reader/
leidden in eerste instantie nog naar download.cnet.com met Foxit Reader 3.2.0.0303, volgens de vermelding.
Update:
Mooi, ik zie dat http://www.foxitsoftware.com/pdf/reader/ inmiddels leidt naar de bijgewerkte download.cnet.com pagina, die nu ook Foxit Reader versie 3.2.1.401 aanbiedt.
En verder,
mooi snel aangeboden, de update met het inbouwen van een waarschuwing die de gebruiker vraagt of het bestand moet worden uitgevoerd, maar mijns inziens is het jammer dat dat automatisch uitvoeren van een ingebed uitvoerbaar bestand niet geheel onmogelijk is gemaakt.
Wanneer de waarschuwingstekst gemanipuleerd wordt, kan de gebruiker misleid worden, en worden verleid tot het toch uitvoeren van een kwaadaardige toepassing.
In die zin is het probleem dus nog steeds niet gepatched, en wellicht zelfs onpatchbaar.
Alleen een PDF viewer die een ingebed uitvoerbaar bestand in het geheel niet kan uitvoeren (zoals bijvoorbeeld Sumatra PDF) is werkelijk veilig wat dit probleem betreft.
Indien je dus aan de pdf standaarden wilt blijven voldoen MOET je die functionaliteit wel heel laten.
Een security-workaround zoals Foxit heeft gedaan is daardoor de enige snelle oplossing die je kan aanbieden.
als dat niet te spartaans voor je is.
Ikzelf heb nu zowel PDF-XChange Viewer als Foxit Reader staan. Als de een moeite heeft met een bepaalde pdf, dan kan de andere 'm wellicht aan. En PDF-XChange Viewer is perfect als je aantekeningen, commentaren, markeringen, pijlen of wat dan ook wilt aanbrengen in een pdf. Met Foxit Reader kan dat ook, maar dan krijg je te maken met een stempel "Edited by Foxit Reader - For Evaluation Only".
Zoveel smaken zoveel mogelijkheden.
Nog meer:
http://pdfreaders.org/
.., had het 1e maandag van de maand 12:00 effect op me.
http://i225.photobucket.com/albums/dd228/aanslag/foxit321.jpg
Haha, dat was me niet opgevallen bij herinstallatie.
Tsja, blijkbaar is Engels niet bepaald de moerstaal van alle Foxit medewerkers.
En dat geloof ik ook wel, want "Today Foxit has offices in US, China, Japan, Taiwan, Korea and France."
http://www.foxitsoftware.com/company/
http://www.foxitsoftware.com/company/contact.htm
Maar dergelijke slordigheden zijn natuurlijk niet bepaald gunstig voor het vertrouwen.
Prima toch! Ik snap niet wat het hele probleem is.
Je hebt misschien Didier Stevens' blog niet bekeken?
http://blog.didierstevens.com/2010/03/29/escape-from-pdf/
Het probleem is dat de waarschuwing zoals die door Adobe Reader, PDF-XChange Viewer en nu ook door Foxit Reader wordt gegeven wanneer een ingebed uitvoerbaar bestand uitgevoerd dreigt te worden niet afdoende is.
Didier Stevens heeft dat keurig beschreven op zijn blog (met afbeeldingingen erbij):
" With Adobe Reader, the user gets a warning asking for approval to launch the action, but I can (partially) control the message displayed by the dialog. [...]
PDF viewers like Adobe Reader and Foxit Reader dont allow embedded executables (like binaries and scripts) to be extracted and executed.
But I found another way to launch a command (/Launch /Action), and ultimately run an executable I embedded using a special technique. With Adobe Reader, a launch action needs to be approved by the user.
But I can partially control the message displayed by this dialog box.
I can use this to social-engineer users to "Open" the file. "
Verder, Anoniem,
Je snapt de hele fuzz niet, zeg je. Want jij opent alleen veilige bestanden.
Weet je, de wereld draait niet om jou alleen.
De meeste gewone gebruikers hebben geen enkele sjoege van dit soort zaken, dus dit soort inherente onveiligheden kunnen wel degelijk een groot probleem worden. Behalve voor jou, natuurlijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
