Przejdź na

Foxit Reader z dwiema lukami 0-day. Producent odmówił przygotowania łatek

Badacz Ariele Caltabiano z Zero Day Initative ujawnił publiczniedwie podatności w niezwykle popularnym czytniku plików PDF, FoxitReaderze – obie pozwalają na zdalne uruchomienie kodu nakomputerze ofiary, wskutek błędów w walidacji przetwarzanychciągów. Do ujawnienia doszło po 120 dniach od odkrycia. Przez tenczas producent nie tylko nie wydał łatki, ale wręcz odmówił jejprzygotowania, twierdząc, że domyślny tryb Safe Mode tego programuchroni przed nieautoryzowanymi działaniami JavaScriptu.

Obraz
Adam Golański

Zagrożenie to na dużą skalę – ocenia się, że z FoxitReadera korzysta około 400 mln użytkowników. O ironio, wielu znich wybrało ten program właśnie ze względu na nieustanneproblemy z bezpieczeństwem w najpopularniejszym z czytników PDF,programie Adobe Reader. Teraz dotknięci zostali dwiemapodatnościami:

CVE-2017-10951dotyczy metody app.launchURL. Wskutek niewłaściwej walidacjidostarczonego przez użytkownika ciągu, można ją wykorzystać dowywołania systemowego, a w konsekwencji uruchomienia kodu zuprawnieniami bieżącego procesu.

CVE-2017-10952dotyczy funkcji saveAs. Wskutek niewłaściwej walidacjidostarczonych przez użytkownika danych możliwe staje się zapisaniedowolnego pliku do kontrolowanej przez napastnika lokalizacji, wkonsekwencji pozwalając na wykonanie kodu z uprawnieniami bieżącegoprocesu.

Odkrywcy trzykrotnie informowali producenta, firmę Foxit Softwareo odkrytych podatnościach. Za pierwszym razem odpowiedziano im, żeproblem nie może zostać odtworzony. Za drugim, po wysłaniukolejnych kroków ataku, zażądano dalszych szczegółów. Zatrzecim, gdy wysłano kompletny scenariusz ataku, Foxit odpowiedział,że nie będzie tych luk łatał, ponieważ atak może zostaćzablokowany przez bezpieczny tryb programów Foxit Reader iPhantomPDF, domyślnie włączony by kontrolować uruchamianieJavaScriptu.

ZDI stwierdziło, że to nie jest żadne załatanie luki izdecydowało się upublicznić informacje, by użytkownicy FoxitReadera mieli świadomość, że korzystają z podatnego na atakoprogramowania. Póki co w Sieci nie pojawiły się gotowe exploity,ale ZDI radzi, by za pomocą tego czytnika otwierać jedynie pliki zzaufanych źródeł.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
ChatGPT ma dużą awarię. Użytkownicy zgłaszają liczne problemy
ChatGPT ma dużą awarię. Użytkownicy zgłaszają liczne problemy
CERT Polska ostrzega przed fałszywymi powiadomieniami KSeF
CERT Polska ostrzega przed fałszywymi powiadomieniami KSeF
Problem z Blikiem i kartami Visa. Od rana usterka płatności (aktualizacja)
Problem z Blikiem i kartami Visa. Od rana usterka płatności (aktualizacja)
Awaryjne aktualizacje dla Windows Server. Rozwiązują usterki
Awaryjne aktualizacje dla Windows Server. Rozwiązują usterki
Zastrzegasz PESEL? Są dwa wyjątki
Zastrzegasz PESEL? Są dwa wyjątki
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
NIE WYCHODŹ JESZCZE! MAMY COŚ SPECJALNIE DLA CIEBIE 🎯