Deux vulnérabilités zero-day ont été découvertes dans Foxit Reader

Le lab Zero Day Initiative de Trend Micro™ a publié des détails sur deux failles zero-day d’exécution de code à distance affectant le lecteur PDF populaire Foxit Reader®.

 

 

 

La première ( CVE-2017-10951 ) est un défaut d’injection de commande qui existe dans la méthode app.launchURL et se pose parce que la méthode accepte plus que de simples URL comme arguments. Il ne filtre pas les extensions de fichier, et peut donc être utilisé pour lancer des exécutables.

 

La deuxième ( CVE-2017-10952 ) est un défaut d’écriture de fichier arbitraire qui existe dans la fonction JavaScript de saveAs. SaveAs ne vérifie pas correctement le chemin vers lequel il est orienté pour écrire. Il ne vérifie pas non plus l’extension du fichier.

 

Steven Seeley, le chercheur qui a marqué le défaut, « exploite cette vulnérabilité en intégrant un fichier HTA dans le document, puis en appelant saveAS pour l’écrire dans le dossier de démarrage, en exécutant ainsi le code arbitraire vbscript lors du démarrage ».

 

Les deux vulnérabilités exigent que l’interaction de l’utilisateur soit exploitée, par exemple, la cible doit visiter une page malveillante ou ouvrir un fichier malveillant.

 

En outre, les deux vulnérabilités ne peuvent être exploitées que si le mode de lecture sécurisée de l’application est désactivé.

 

Foxit Software, informé de cette découverte, a d’abord indiqué qu’ils n’imposeraient pas une protection supplémentaire contre ces failles.

« Foxit Reader & PhantomPDF dispose d’un mode de lecture sécurisé qui est activé par défaut pour contrôler l’exécution de JavaScript, et qui peut efficacement protéger des vulnérabilités potentielles contre les actions JavaScript non autorisées », a précisé l’éditeur.

 

« Les utilisateurs de Foxit’s Reader et PhantomPDF devraient s’assurer qu’ils ont un mode de lecture sécurisé et espérons que les attaquants ne découvrent pas un moyen de le désactiver », a déclaré Hariri. « En outre, vous pouvez décochez la case » Activer les actions JavaScript « dans le menu Préférences de Foxit, même si cela risque de briser certaines fonctionnalités. »

 

Gestion de la sécurité sous Foxit reader Windows

 

 

Une autre bonne façon de minimiser le risque est d’ouvrir uniquement les fichiers PDF fournis par une source de confiance (qu’il s’agisse d’un expéditeur ou d’un site Web).

 

 

Au final, Foxit Software a indiqué qu’il travaillaient actuellement à résoudre rapidement les deux vulnérabilités signalées dans le blog de l’initiative Zero Day et qu’ils fourniraient des mises à jour en conséquence. En attendant, les utilisateurs peuvent se protéger en utilisant le mode de lecture sécurisée.

 

source Zero Day Initiative

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *