Lek in Foxit Reader kan aanvaller controle over systeem geven
Er is een nieuwe versie van de populaire pdf-lezer Foxit Reader verschenen die een kwetsbaarheid verhelpt waardoor een aanvaller in het ergste geval volledige controle over een systeem had kunnen krijgen. Alleen het openen van een kwaadaardig pdf-document of het bezoeken van een kwaadaardige of gecompromitteerde website was voldoende geweest.
Het beveiligingslek (CVE-2019-5031) bevond zich in de JavaScript-engine van de pdf-lezer. Via een kwaadaardig pdf-document was het mogelijk om een "out-of-memory" conditie te veroorzaken en vervolgens willekeurige code op het systeem uit te voeren, zoals het installeren van malware. Een aanvaller zou het slachtoffer eerst een kwaadaardig pdf-document moeten laten openen. Foxit Reader biedt echter ook een browserplug-in die pdf's op websites opent. Wanneer de plug-in was ingeschakeld volstond het bezoeken van een kwaadaardige of gecompromitteerde website.
De ontwikkelaar van Foxit Reader werd op 2 april geïnformeerd door Cisco. Oorspronkelijk zouden de onderzoekers de details drie maanden later op 2 juli openbaar maken. Foxit Software vroeg echter om meer tijd en kreeg die ook. De nieuwe deadline werd vervolgens op 30 augustus gezet. Ook dit tijdsvenster ging Foxit Software niet halen en opnieuw werd er uitstel aangevraagd en verleend.
Een beveiligingsupdate is nu eindelijk beschikbaar en gebruikers krijgen het advies om te updaten naar Foxit Reader 9.7. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 8,8 beoordeeld.
Uitleg: Evince reader opent het verdachte PDF bestand onder Linux in een Firejail zandbak, een container met een afgeschermd profiel zonder enige netwerk mogelijkheid. Dit werkt ook prima onder GNOME met de Wayland display.
https://firejail.wordpress.com/
Vergelijk dit maar met een vrachtwagen vol zand die de Explosieven Opruimingsdienst Defensie laat aanrukken om een eenmaal ontmantelde vliegtuigbom te laten afvoeren, om het gevaarte elders veilig te kunnen laten ontploffen.
Microsoft
Windows thuisgebruikers wordt geadviseerd Sophos Sandboxie te gebruiken. Dat is een zandbak voor onder Windows, ook geschikt voor Acrobat en Foxit Reader. Dat werkt ongeveer net zo eenvoudig.
Sandboxie: Trust No Program
https://www.sandboxie.com/
Sandboxie wordt verder ontwikkeld als een openbare zandbak, dus waarvan de code door derden is in te zien, en deze is vrij verkrijgbaar. Firejail werkt helaas nog lang niet onder Windows.
De eerlijkheid gebied te zeggen dat Firejail (thans v0.9.60, onder GPL v2) nog in de ontwikkelingsfase is, en nog niet zo volwassen is als bijvoorbeeld SELinux of AppArmor. Hoe sterk Sandboxie daadwerkelijk is, valt nog te bezien.
De Firejail util is voor de geintereseerde Linux leek alleen wel een stuk eenvoudiger te gebruiken en daarmee waarschijnlijk veiliger (!) dan een fout geconfigureerde AppArmor doos... en het werkt zelfs samen met AppArmor.
Ideaal voor thuiswerker op een singe-user Linux systeem, maar misschien nog niet geschikt voor mission critical systemen. Hoewel? We zullen snel zien, want er is namelijk weinig nieuws onder de zon.
De werking van Firejail is hierop gebaseerd:
https://en.wikipedia.org/wiki/Seccomp
Voor serieuze toepassingen is het zaak om de broncode van Firejail en Sandboxie beiden onafhankelijk te laten auditen. Firejail is heel compact en geheel geschreven in C en staat op Debian.org en GitHub. Dat behoeft geen probleem te zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
