Lek in Foxit Reader kan aanvaller controle over systeem geven

[Captain Kirk]

Er is een nieuwe versie van de populaire pdf-lezer Foxit Reader verschenen die een kwetsbaarheid verhelpt waardoor een aanvaller in het ergste geval volledige controle over een systeem had kunnen krijgen. Alleen het openen van een kwaadaardig pdf-document of het bezoeken van een kwaadaardige of gecompromitteerde website was voldoende geweest.

Het beveiligingslek (CVE-2019-5031) bevond zich in de JavaScript-engine van de pdf-lezer. Via een kwaadaardig pdf-document was het mogelijk om een "out-of-memory" conditie te veroorzaken en vervolgens willekeurige code op het systeem uit te voeren, zoals het installeren van malware. Een aanvaller zou het slachtoffer eerst een kwaadaardig pdf-document moeten laten openen. Foxit Reader biedt echter ook een browserplug-in die pdf's op websites opent. Wanneer de plug-in was ingeschakeld volstond het bezoeken van een kwaadaardige of gecompromitteerde website.

De ontwikkelaar van Foxit Reader werd op 2 april geïnformeerd door Cisco. Oorspronkelijk zouden de onderzoekers de details drie maanden later op 2 juli openbaar maken. Foxit Software vroeg echter om meer tijd en kreeg die ook. De nieuwe deadline werd vervolgens op 30 augustus gezet. Ook dit tijdsvenster ging Foxit Software niet halen en opnieuw werd er uitstel aangevraagd en verleend.

Een beveiligingsupdate is nu eindelijk beschikbaar en gebruikers krijgen het advies om te updaten naar Foxit Reader 9.7. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 8,8 beoordeeld.

 

 

bron: security.nl