{"id":230949,"date":"2020-04-22T00:02:00","date_gmt":"2020-04-21T22:02:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=230949"},"modified":"2020-04-22T00:05:01","modified_gmt":"2020-04-21T22:05:01","slug":"rce-schwachstelle-in-foxit-pdf-reader-und-phantompdf","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/04\/22\/rce-schwachstelle-in-foxit-pdf-reader-und-phantompdf\/","title":{"rendered":"RCE-Schwachstelle in Foxit PDF Reader und PhantomPDF"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/04\/22\/rce-schwachstelle-in-foxit-pdf-reader-und-phantompdf\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]In den beiden PDF-Programmen Foxit PDF Reader und PhantomPDF gibt es eine Remote Code Execution-Schwachstelle. Der Hersteller hat aber bereits Updates zum Schlie\u00dfen der kritischen Schwachstelle ver\u00f6ffentlicht \u2013 ich hatte darauf hingewiesen. Nun sind noch einige Details bekannt geworden.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/e859bbc1da414223802b033ec801b166\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin vor einigen Stunden auf diesen Sachverhalt \u00fcber den nachfolgenden Tweet der Kaspersky-Leute aufmerksam geworden.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Use FoxIT or Phantom PDF reader? You might want to take note <a href=\"https:\/\/t.co\/XcWkMfEOwa\">https:\/\/t.co\/XcWkMfEOwa<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/1252555190647037952?ref_src=twsrc%5Etfw\">April 21, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Bereits am 13. April 2020 hatte ich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/04\/13\/sicherheitsupdate-foxit-reader-9-7-2\/\">Sicherheitsupdate Foxit Reader 9.7.2<\/a> \u00fcber ein Sicherheitsupdate f\u00fcr den Foxit Reader und den Foxit PhantomPDF berichtet, das eine RCE-Schwachstelle schlie\u00dft. Das Update wurde zur\u00fcckgezogen und sp\u00e4ter wieder ver\u00f6ffentlicht. Details zu Schwachstellen in diversen Produkten sind im <a href=\"https:\/\/www.foxitsoftware.com\/support\/security-bulletins.php\" target=\"_blank\" rel=\"noopener noreferrer\">Foxit-Security-Bulletin<\/a> zu finden. Hier ein kurzer \u00dcberblick \u00fcber die Schwachstellen im Foxit-Reader und in PhantomPDF.<\/p>\n<h2>Schwachstellen im Foxit Reader<\/h2>\n<p>ThreadPost hat in <a href=\"https:\/\/threatpost.com\/foxit-pdf-reader-phantompdf-remote-code-execution\/154942\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> mehr Details offen gelegt. Um die RCE-Schwachstelle im Foxit Reader ausnutzen zu k\u00f6nnen, muss der Angreifer das Opfer dazu bringen, eine b\u00f6sartige PDF-Datei aktiv zu \u00f6ffnen. Dabei sind verschiedene Schwachstellen ausnutzbar. Es gibt die beiden Schwachstellen (<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2020-10899\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-10899,<\/a> <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2020-10907\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-10907<\/a>) bei der Verarbeitung von XFA-Vorlagen. Das sind in PDF-Dateien eingebettete Vorlagen, die ausf\u00fcllbare Felder erm\u00f6glicht. Die Schwachstellen resultieren aus der fehlenden Validierung der Existenz eines Objekts vor der Durchf\u00fchrung von Operationen an diesem Objekt. Ein Angreifer kann beide Fehler ausnutzen, um Code im Kontext des aktuellen Prozesses auszuf\u00fchren.<\/p>\n<p>Sicherheitsforscher sind auch auf einen weiteren RCE-Fehler (<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2020-10900\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-10900<\/a>) gesto\u00dfen. Dieser resultiert aus der Art und Weise, wie AcroForms verarbeitet werden. AcroForms sind PDF-Dateien, die Formularfelder enthalten. Der Fehler existiert, weil die AcroForms die Existenz eines Objekts vor der Ausf\u00fchrung von Operationen an diesem Objekt nicht validieren.<\/p>\n<p>Die Schwachstellen sind im Foxit Reader Version 9.7.2 behoben. In dieser Version wurde auch die Schwachstelle <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2020-10906\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-10906<\/a> in der resetForm-Methode innerhalb von Foxit Reader PDFs behoben. Das Problem besteht darin, dass vor der Durchf\u00fchrung von Operationen am Objekt keine Pr\u00fcfung auf ein Objekt erfolgt, wodurch der Prozess f\u00fcr einen RCE-Angriff ge\u00f6ffnet wird.<\/p>\n<h2>PhantomPDF<\/h2>\n<p>Auch in PhantomPDF existieren mehrere schwerwiegende Fehler in den <a href=\"https:\/\/www.foxitsoftware.com\/support\/security-bulletins.php\" target=\"_blank\" rel=\"noopener noreferrer\">Versionen 9.7.1.29511<\/a> und fr\u00fcher. Anwendern wird dringend empfohlen, auf PhantomPDF Version 9.7.2 zu aktualisieren. Dustin Childs von Trend Micros Zero Day Initiative (ZDI) gibt an, dass die schwerwiegendsten davon zwei Fehler in der API-Kommunikation von PhantomPDF (<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2020-10890\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-10890<\/a> und <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2020-10892\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-10892<\/a>) seien. PhantomPDF-API-Aufrufe sind f\u00fcr die Erstellung von PDFs aus anderen Dokumenttypen erforderlich.<\/p>\n<p>Diese Fehler ergeben sich aus der Handhabung des ConvertToPDF-Befehls und des CombineFiles-Befehls, die ein beliebiges Schreiben von Dateien mit von Angreifern kontrollierten Daten erm\u00f6glichen. \"CVE-2020-10890 und CVE-2020-10892 zeichnen sich dadurch aus, dass sie relativ leicht auszunutzen sind\", sagte Childs gegen\u00fcber Threatpost. \"Sie sind sehr unkompliziert und erfordern keine Angriffstechniken wie Massage oder Heap Spraying, um erfolgreich zu sein\".<\/p>\n<p>Zwei weitere kritische Schwachstellen (<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2020-10912\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-10912<\/a>, <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2020-10912\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2020-10912<\/a>) ergeben sich aus der Behandlung des SetFieldValue-Befehls bei API-Aufrufen. Das Fehlen einer ordnungsgem\u00e4\u00dfen Validierung der vom Benutzer eingegebenen Daten f\u00fcr diese Befehle f\u00fchrt zu einer Type-Confusion-Bedingung &#8211; und letztendlich zu einer willk\u00fcrlichen Codeausf\u00fchrung. Bei allen oben genannten schwerwiegenden Fehlern kann ein Angreifer Code im Kontext des aktuellen Prozesses ausf\u00fchren &#8211; es ist jedoch eine Benutzerinteraktion erforderlich, beim dem das Opfer eine b\u00f6sartige Seite besuchen oder eine b\u00f6sartige Datei \u00f6ffnen muss.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/04\/13\/sicherheitsupdate-foxit-reader-9-7-2\/\">Sicherheitsupdate Foxit Reader 9.7.2<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/08\/31\/foxit-software-gehackt-kundendaten-gestohlen\/\">Foxit Software gehackt, Kundendaten gestohlen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]In den beiden PDF-Programmen Foxit PDF Reader und PhantomPDF gibt es eine Remote Code Execution-Schwachstelle. Der Hersteller hat aber bereits Updates zum Schlie\u00dfen der kritischen Schwachstelle ver\u00f6ffentlicht \u2013 ich hatte darauf hingewiesen. Nun sind noch einige Details bekannt geworden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[56,4328,3836],"class_list":["post-230949","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-foxit-reader","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/230949","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=230949"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/230949\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=230949"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=230949"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=230949"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}