Datenschutz & Sicherheit

Foxit PDF: Updates schließen hochriskante Sicherheitslücken


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Die Entwickler von Foxit PDF haben neue Versionen des Editors und des Readers sowohl für macOS als auch für Windows herausgegeben. Sie schließen eine größere Zahl an Sicherheitslücken, von denen einige sogar die Risikoeinstufung „kritisch“ nur um Haaresbreite verfehlen.

Weiterlesen nach der Anzeige

Auf der Foxit-Webseite mit Sicherheitsmitteilungen kündigen die Entwickler die aktualisierten Softwarepakete an. Eine der schwerwiegendsten Schwachstellen betrifft die Windows-Version, wenn sie aus dem Microsoft Store installiert wurde. Angreifer mit niedrigen Berechtigungen können dem Installer Code unterschieben, da der „msiexec.exe“ aus dem aktuellen Pfad aufruft anstatt aus dem vertrauenswürdigen Systempfad (CVE-2025-57779, CVSS 8.8, Risiko „hoch“). Auch im Updater für die Windows-Version (ohne die Einschränkung auf den MS-Store-Bezug) können lokale Angreifer ihre Rechte zu „SYSTEM“ ausweiten, da bei der Plug-in-Installation falsche Dateisystemberechtigungen für Ressourcen vergeben werden, die der Updater nutzt (CVE-2025-13941, CVSS 8.8, Risiko „hoch“).

Weitere Sicherheitslücken in allen Versionen

Auch die Mac-Versionen sind von weiteren „Use-after-free“-Schwachstellen . Die können Angreifer zum Einschleusen von Schadcode mit manipulierten PDF-Dateien missbrauchen – betCVE-2025-58085, CVE-2025-59488, CVE-2025-66493, CVE-2025-66494 und CVE-2025-66495 erhalten alle eine Risikoeinstufung „hoch“ mit einem CVSS-Wert 7.8. Hierbei greift der Programmcode auf Ressourcen zu, die zuvor bereits freigegeben wurden und daher einen undefinierten Inhalt haben. Ein Heap-basierter Pufferüberlauf kann zudem bei der Verarbeitung von JBIG2-Daten in PDFs auftreten und dabei eingeschleuster Code zur Ausführung gelangen (CVE-2025-66499, CVSS 7.8, Risiko „hoch“). Drei weitere Lücken (CVE-2025-66496, CVE-2025-66497 und CVE-2025-66498) stufen die Entwickler mit CVSS 5.3 nur als „mittleres“ Risiko ein.

Die Schwachstellen bessern die jetzt verfügbaren Versionen Foxit PDF Reader 2025.3 sowie PDF Editor 2025.3, 14.0.2 und 13.2.2 für macOS und Windows aus. Betroffene können sie von der Download-Seite bei Foxit herunterladen. Lokal lässt sich das Update durch Klick auf „Hilfe“ – „Über Foxit PDF [Editor|Reader]“ – „Auf Update prüfen“ suchen und anwenden.

Zuletzt hatte Foxit im August mit Softwareupdates Sicherheitslücken in den PDF-Programmen geschlossen. Auch da galten einige Lücken als „hohes“ Risiko. Sie erlaubten Angreifern unter anderem das Einschleusen und Ausführen von Schadcode.


(dmk)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen