Перейти к публикации
1
1
1
1
1
RabbitRun

В Foxit Reader обнаружены две 0-day уязвимости

Рекомендованные сообщения

Специалисты команды Zero Day Initiative (ZDI) компании Trend Micro и специалист фирмы Offensive Security рассказали об обнаружении сразу двух 0-day уязвимостей в популярном приложении для работы с PDF-файлами, Foxit Reader.

Исследователи пишут, что оба бага связаны с работой JavaScript API и их можно эксплуатировать через специально созданный вредоносный файл PDF, который жертва должна открыть в Foxit. При этом разработчики решения отказались выпускать патчи для данных проблем, мотивировав это тем, что уязвимости не работают в режиме Safe Reading (данный режим, к частью, включен в Foxit Reader по умолчанию).

 

«Foxit Reader и PhantomPDF имеют режим Safe Reading, который включен по умолчанию и контролирует работу JavaScript, что помогает эффективно обезопасить [пользователей] от потенциальных уязвимостей, связанных с неавторизованными действиями JavaScript», — заявляют разработчики.

CVE-2017-10951: баг связан с app.launchURL и допускает внедрение команд (command injection) атакующим, которые будут выполнены app.launchURL за счет недостатка валидации. Видеодемонстрацию проблемы можно увидеть ниже.

 

CVE-2017-10952: уязвимость связана с JavaScript-функцией saveAs и позволяет атакующему сохранить в целевой системе произвольный файл. Видеодемонстрацию проблемы можно увидеть ниже.

 

Эксперты настоятельно рекомендуют пользователям Foxit Reader и PhantomPDF убедиться, что режим Safe Reading включен. Кроме того, в настройках приложения можно найти опцию Enable JavaScript Actions, которую рекомендуется отключить, хотя из-за этого может пострадать функциональность программы.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

×
×
  • Создать...