Foxit dicht PDF-gat eerder dan Adobe en Apple

Foxit dicht het fundamentele lek in het PDF-formaat voor zijn software. Adobe komt volgende week met een eigen patch en Apple houdt zijn fix nog onder de pet.

De Foxit Reader heeft een patch gekregen dat het beveiligingsgat dicht in de specificaties voor het bestandsformaat PDF (portable document format). Dat gat maakt het mogelijk dat lettertypes (fonts) in malafide PDF-bestanden eigen code meesmokkelen die dan wordt uitgevoerd op computers.

Ook Linux

Het lek zou schuilen in de font-engine FreeType 2 die wordt gebruikt door diverse bedrijven, waaronder in ieder geval Foxit en Apple. Linux-aanbieder Red Hat behoort ook tot de getroffen ict-leveranciers en heeft vorige week een eigen update uitgebracht. Red Hat werd door Apple is geïnformeerd over het lek.

Er is nog onduidelijkheid of exact ditzelfde lek aanwezig is in de PDF-software van Adobe. Die leverancier wordt niet genoemd in de security-bulletins over het gat in FreeType 2. Adobe kampt echter wel met een fundamenteel PDF-lek in zijn software, dat werd onthuld op hackersbijeenkomst Black Hat. Daarbij zijn details bewust achterwege gelaten, maar de vrees is dat er toch voldoende informatie beschikbaar is om kwaadwillenden op het spoor te zetten van dit beveiligingsgat.

iPhone-jailbreak

Foxit is met zijn patch de grotere bedrijven Apple en Adobe te snel af. De patch is vrijdag al uitgebracht en wordt door Foxit in verband gebracht met de laatste iPhone-jailbreak, die ook verloopt via PDF-software. Dit terwijl de alternatieve PDF-leessoftware van Foxit niet draait op iOS, het besturingssysteem van de iPhone. Het gaat wel om hetzelfde onderliggende gat.

Dat gat maakt een zeer makkelijke jailbreak mogelijk voor de iPhone (en ook iPad en iPod Touch). Het bezoeken van een website met speciaal geprepareerde PDF-bestanden zorgt ervoor dat code binnenkomt die dan misbruik maakt van een tweede lek in de kernel van iOS. Het fundamentele PDF-lek zit dus ook in de PDF-weergavemogelijkheid van iOS.

Wachten op patches

Apple zegt al een patch klaar te hebben voor dit probleem. Onduidelijk is of die patch bedoeld is voor het PDF-lek of ook voor het kernel-gat. De iPhone-maker brengt de fix uit in "een aankomende software-update". Het is onbekend wanneer dat gebeurt.

Adobe heeft al aangekondigd met een noodpatch te komen. Die komt in de week van 16 augustus uit. De patch is voor de gratis PDF-leessoftware Adobe Reader en voor het professionele pakket Acrobat, draaiend op Windows, Mac OS X en Unix . De volgende geplande patchronde van Adobe is pas op 12 oktober.

Bron: Webwereld.nl

Deel dit artikel
Voeg toe aan favorieten