Специалисты команды Zero Day Initiative (ZDI) компании Trend Micro и специалист фирмы Offensive Security рассказали об обнаружении сразу двух 0-day уязвимостей в популярном приложении для работы с PDF-файлами, Foxit Reader.
Исследователи пишут, что оба бага связаны с работой JavaScript API и их можно эксплуатировать через специально созданный вредоносный файл PDF, который жертва должна открыть в Foxit. При этом разработчики решения отказались выпускать патчи для данных проблем, мотивировав это тем, что уязвимости не работают в режиме Safe Reading (данный режим, к cчастью, включен в Foxit Reader по умолчанию).
«Foxit Reader и PhantomPDF имеют режим Safe Reading, который включен по умолчанию и контролирует работу JavaScript, что помогает эффективно обезопасить [пользователей] от потенциальных уязвимостей, связанных с неавторизованными действиями JavaScript», — заявляют разработчики.
CVE-2017-10951: баг связан с app.launchURL и допускает внедрение команд (command injection) атакующим, которые будут выполнены app.launchURL за счет недостатка валидации. Видеодемонстрацию проблемы можно увидеть ниже.
CVE-2017-10952: уязвимость связана с JavaScript-функцией saveAs и позволяет атакующему сохранить в целевой системе произвольный файл. Видеодемонстрацию проблемы можно увидеть ниже.
Эксперты настоятельно рекомендуют пользователям Foxit Reader и PhantomPDF убедиться, что режим Safe Reading включен. Кроме того, в настройках приложения можно найти опцию Enable JavaScript Actions, которую рекомендуется отключить, хотя из-за этого может пострадать функциональность программы.