Byly odhaleny závažné chyby ve Foxit PDF Readeru

8. 9. 2017 v sekci Článek

Bezpečnostní odborníci odhalili ve zmíněném programu dvě závažné 0-day zranitelnosti, které by mohly útočníkům umožnit spustit na cílovém počítači libovolný kód.

První zranitelnost CVE-2017-10951 objevil Ariel Caltabian z oddělení ZDI (Zero Day Initiative) společnosti Trend Micro, na druhou chybu, CVE-2017-10952, upozornil bezpečnostní expert Steven Seeley. Útočník může tyto chyby zneužít tak, že pošle své oběti upravené PDF, které mu po otevření ve Foxit PDF Readeru díky zmíněným zranitelnostem umožní provádět další operace včetně spuštění libovolných programů a kódů. Podle dostupných informací se Foxit patche nedočká, chyb je totiž možné zneužít pouze pokud není aktivní tzv. režim bezpečného čtení (safe reading mode), který je v programu nastaven jako výchozí režim čtení.

Podle vyjádření společnosti, která stojí nejen za Foxit PDF Readerem, ale také za PhantomPDF, je režim bezpečného čtení koncipován tak, že dochází ke kontrole spouštění JavaScriptů, což umožňuje chránit uživatele před neautorizovanými akcemi neznámých JavaScriptů.

Odborníci však upozornili na to, že nechávat kritické zranitelnosti bez patchů může představovat značné riziko. Je otázkou času, kdy se útočníkům podaří obejít režim bezpečného čtení. Obě bezpečnostní chyby mohou být spuštěny prostřednictvím API JavaScriptu ve Foxit PDF Readeru.

CVE-2017-10951: Chyba vkládání příkazu se skládá z funkce app.launchURL, která díky chybějícímu správnému ověření na cílovém systému spouští řetězce „útočného kódu“ (video s demonstrací zde).

CVE-2017-10952: Tato chyba zabezpečení existuje v rámci JavaScript funkce „saveAs“, která umožňuje útočníkům vytvořit libovolný soubor na cílovém systému na jakémkoliv konkrétním místě (video s ukázkou zde).

Jak video ukazuje, potenciální útočník vložil do dokumentu HTA soubor a pomocí zavolání funkce „saveAs“ jej zapsal do adresáře procesů, které se spouští po startu systému, čímž mohl spouštět libovolný VBScript.

Pokud patříte mezi uživatele Foxit PDF Reader či PhantomPDF, ujistěte se, že používáte režim bezpečného čtení. Programy případně umožňují úplně zakázat spouštění JavaScriptů. Zároveň je na místě ostražitost, pokud otevíráte soubory, které jste obdrželi od neznámých kontaktů. To se netýká jen PDF, ale i dalších příloh, které jsou často nositeli škodlivých prvků. Ostatně – není to tak dávno, co se hojně šířil malware prostřednictvím powerpointové prezentace. Proto přemýšlejte dřív, než na něco kliknete.

Zdroj: THN