Foxit Reader z dwiema lukami 0‑day. Producent odmówił przygotowania łatek
Badacz Ariele Caltabiano z Zero Day Initative ujawnił publiczniedwie podatności w niezwykle popularnym czytniku plików PDF, FoxitReaderze – obie pozwalają na zdalne uruchomienie kodu nakomputerze ofiary, wskutek błędów w walidacji przetwarzanychciągów. Do ujawnienia doszło po 120 dniach od odkrycia. Przez tenczas producent nie tylko nie wydał łatki, ale wręcz odmówił jejprzygotowania, twierdząc, że domyślny tryb Safe Mode tego programuchroni przed nieautoryzowanymi działaniami JavaScriptu.
Zagrożenie to na dużą skalę – ocenia się, że z FoxitReadera korzysta około 400 mln użytkowników. O ironio, wielu znich wybrało ten program właśnie ze względu na nieustanneproblemy z bezpieczeństwem w najpopularniejszym z czytników PDF,programie Adobe Reader. Teraz dotknięci zostali dwiemapodatnościami:
CVE-2017-10951dotyczy metody app.launchURL. Wskutek niewłaściwej walidacjidostarczonego przez użytkownika ciągu, można ją wykorzystać dowywołania systemowego, a w konsekwencji uruchomienia kodu zuprawnieniami bieżącego procesu.
CVE-2017-10952dotyczy funkcji saveAs. Wskutek niewłaściwej walidacjidostarczonych przez użytkownika danych możliwe staje się zapisaniedowolnego pliku do kontrolowanej przez napastnika lokalizacji, wkonsekwencji pozwalając na wykonanie kodu z uprawnieniami bieżącegoprocesu.
Odkrywcy trzykrotnie informowali producenta, firmę Foxit Softwareo odkrytych podatnościach. Za pierwszym razem odpowiedziano im, żeproblem nie może zostać odtworzony. Za drugim, po wysłaniukolejnych kroków ataku, zażądano dalszych szczegółów. Zatrzecim, gdy wysłano kompletny scenariusz ataku, Foxit odpowiedział,że nie będzie tych luk łatał, ponieważ atak może zostaćzablokowany przez bezpieczny tryb programów Foxit Reader iPhantomPDF, domyślnie włączony by kontrolować uruchamianieJavaScriptu.
ZDI stwierdziło, że to nie jest żadne załatanie luki izdecydowało się upublicznić informacje, by użytkownicy FoxitReadera mieli świadomość, że korzystają z podatnego na atakoprogramowania. Póki co w Sieci nie pojawiły się gotowe exploity,ale ZDI radzi, by za pomocą tego czytnika otwierać jedynie pliki zzaufanych źródeł.
