Eine kritische Sicherheitslücke in Mozilla PDF.js, einer in Mozilla Firefox integrierten und auch in anderen Webbrowsern verwendbaren PDF-Anzeigesoftware, könnte Angreifern ermöglichen, willkürlichen Code auszuführen. Die Schwachstelle, bekannt unter den CVE-IDs CVE-2024-4367 und CVE-2024-34342 (react-pdf), betrifft alle Versionen bis einschließlich 4.1.392 bzw. 7.7.3 and 8.0.2 bei react-pdf.
Die Schwachstelle entsteht, wenn PDF.js so konfiguriert ist, dass isEvalSupported
auf true
gesetzt ist, was der Standardeinstellung entspricht. In diesem Zustand könnte das Öffnen einer bösartigen PDF-Datei dazu führen, dass unbeschränkter, angreiferkontrollierter JavaScript-Code im Kontext der Hosting-Domain ausgeführt wird. Dies könnte Angreifern erlauben, Programme zu installieren, Daten anzusehen, zu ändern oder zu löschen oder neue Konten mit vollen Benutzerrechten zu erstellen, je nach den Privilegien des angemeldeten Benutzers.
Mozilla hat auf diese Schwachstelle reagiert, indem die Verwendung von eval
in der betroffenen Funktion entfernt wurde. Zusätzlich wird Benutzern empfohlen, die Option isEvalSupported
auf false
zu setzen, um das Risiko einer Exploitation zu minimieren.
Diese Sicherheitslücke wird als hoch eingestuft, mit einem CVSS-Score von 7.1, was ihre potenzielle Schwere unterstreicht. Benutzer und Administratoren werden dringend dazu aufgefordert, die verfügbaren Updates umgehend zu installieren und zusätzliche Sicherheitsmaßnahmen zu ergreifen, um ihre Systeme zu schützen. Dies umfasst die Einschränkung der Ausführung von JavaScript in PDF-Dateien, wo dies möglich und praktikabel ist, und die Schulung von Benutzern im Umgang mit nicht vertrauenswürdigen Dokumenten und Links.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: