Nitro PDF Pro: Beveiligingsupdate voorkomt uitvoering van code van voorbereide PDF’s


Cisco Talos-onderzoekers hebben een beveiligingsfout ontdekt in de betaalde software Nitro PDF Pro voor Windows. Aanvallers zouden het kunnen misbruiken om code uit te voeren op andere computers – op voorwaarde dat het slachtoffer een speciaal voor dit doel voorbereid PDF-bestand in een kwetsbare PDF Pro-versie op de doelcomputer heeft geopend.

De kwetsbaarheid met ID CVE-2021-21798 met een beoordeling van “Hoog” (CVSS-score 8,8) is alle Nitro PDF Pro-versies tot en met 13.47 getroffen. Een update naar een nieuwere versie (momenteel luid Release-opmerkingen overzicht van de fabrikant PDF Pro 13.49.2.993) beschermt tegen mogelijke aanvallen die waarschijnlijk nog niet zijn waargenomen.

EEN Blogbericht van het Cisco Talos-team evenals een Talos-kwetsbaarheidsrapport over CVE-2021-21798 gedetailleerde technische informatie over de kloof te verstrekken.

Van de Overzicht van Nitro Pro-beveiligingsupdate Volgens de release van versie 13.49.2.993 werd een tweede, ouder beveiligingslek gedicht, dat ook Nitro PDF tot en met 13.47 trof. CVE-2018-1285 stond in code van derden, namelijk in Apache log4net, maar het werd al verwijderd in september 2020. Blijkbaar heeft het Nitro-ontwikkelteam nu pas de verouderde log4net-code in hun software bijgewerkt.

De classificatie als “kritiek” in NVD-vermelding voor CVE-2018-1285 onderstreept het belang van een tijdige update van PDF Pro. Volgens de beschrijving zouden aanvallers zogenaamde XEE-aanvallen (XML externe entiteit) op de XML-parser hebben uitgevoerd met behulp van voorbereide log4net-configuratiebestanden. Het valt nog te bezien welke gevolgen een dergelijke aanval zou kunnen hebben in het geval van Nitro Pro PDF. In het algemeen kunnen XEE-aanvallen echter worden gebruikt om een ​​crash (denial of service) uit te lokken of om toegang te krijgen tot gevoelige documentinhoud.

Voordat de update wordt uitgevoerd, moeten gebruikers de instructies volgen in de Overzicht beveiligingsupdate de genoemde voorbereidingen treffen.


(ovw)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: