دو آسیب‌پذیری روز صفر در Foxit PDF Reader کشف شدند.

Foxit

آیا شما از Foxit PDF Reader استفاده می‌کنید؟ اگر جوابتان مثبت است شما باید مراقب باشید.

محققان امنیتی دو آسیب‌پذیری روز صفر را در نرم‌افزار Foxit Reader کشف کردند که به مهاجمان اجازه می‌دهد یک کد دلخواه را بر روی کامپیوتر هدف اجرا کنند. البته این آسیب‌پذیری‌ها زمانی فعال می‌شوند که این نرم‌افزار به‌گونه‌ای تنظیم‌شده باشد که فایل‌ها را در حالت Safe Reading Mode باز نکند.

اولین آسیب‌پذیری که CVE-2017-10951 نام‌گذاری شده است یک اشکال تزریق دستور است که توسط یک محقق به نام Ariele Caltabiano کشف شده است که برای Trend Micro’s Zero Day Initiative یا ZDI کار می‌کند[۱]. آسیب‌پذیری دوم به نام CVE-2017-10952 یک مشکل نوشتن فایل است که توسط محقق امنیتی به نام Steven Seeley کشف شده است که برای Offensive Security کار می‌کند[۲].

یک مهاجم می‌تواند توسط فرستادن فایل PDF دستکاری‌شده برای یک کاربر Foxit و گول زدن او برای باز کردن این فایل، از این اشکالات بهره‌برداری کند.

شرکت Foxit از وصله کردن این آسیب‌پذیری‌ها خودداری کرده است چراکه این آسیب‌پذیری‌ها در حالت فعال بودن گزینه safe reading mode کار نمی‌کنند که خوشبختانه این ویژگی به‌طور پیش‌فرض در برنامه Foxit Reader فعال است.

این شرکت می‌گوید: ” Foxit Reader و PhantomPDF دارای ویژگی safe reading mode هستند که به‌طور پیش‌فرض در آن‌ها فعال است و این ویژگی به‌منظور کنترل اجراشدن جاوا اسکریپت است که به‌طور مؤثری به‌عنوان یک محافظ در برابر آسیب‌پذیری‌های ناشی از اقدامات غیرمجاز جاوا اسکریپت عمل می‌کند.”

بااین‌حال محققان معتقدند تولید یک ویژگی بازدارنده یک آسیب‌پذیری را به‌طور کامل برطرف نمی‌کند چراکه اگر همچنان وصله نشده باقی بماند با پیدا کردن راهی برای دور زدن ویژگی safe reading mode در آینده‌ای نزدیک توسط مهاجم، می‌تواند مورد بهره‌برداری قرار گیرد.

هر دو آسیب‌پذیری وصله نشده را می‌توان از طریق API جاوا اسکریپت در Foxit Reader ایجاد کرد.

آسیب‌پذیری CVE-2017-10951: این آسیب‌پذیری تزریق دستور در یک تابع app.launchURL قرار دارد که رشته‌هایی که توسط مهاجم بر روی سیستم هدف قرار داده شدند را به علت فقدان اعتبار مناسب اجرا می‌کند. اثبات این ادعا در این ویدیو[۳] آورده شده است.

آسیب‌پذیری CVE-2017-10952: این آسیب‌پذیری در تابع saveAs در جاوا اسکریپت قرار دارد که به مهاجمان اجازه می‌دهد یک فایل دلخواه را بر روی سیستم هدف و در هر محل دلخواهی بنویسند که اثبات این ادعا در این ویدیو[۴] آورده شده است.

در گزارشی که توسط ZDI منتشر شده است این‌گونه آمده است[۵]: ” Stevenاز این آسیب‌پذیری توسط جاسازی یک فایل HTA در یک پرونده بهره‌برداری کرد که تابع saveAS را برای نوشتن در فولدر startup فراخوانی می‌کند که موجب اجرای یک کدVBScript دلخواه بر روی Startup می‌شود.”

اگر شما از Foxit Reader یا PhantomPDF استفاده می‌کنید، از این امر اطمینان حاصل کنید که ویژگی Safe Reading Mode بر روی نرم‌افزار شما فعال باشد. علاوه بر این، شما می‌توانید گزینه Enable JavaScript Actions را از منوی Preferences در نرم‌افزار Foxit غیرفعال کنید، اگرچه ممکن است این کار بر روی برخی از ویژگی‌های این نرم‌افزار تأثیرگذار باشد.

همچنین به کاربران توصیه می‌شود که همیشه در هنگام باز کردن هر فایلی که از طریق ایمیل دریافت می‌کنند هوشیار باشند. اخیراً، یک خبر مبنی بر اینکه باز کردن یک فایل پاورپوینت مخرب می‌تواند کامپیوتر شما را به خطر بیندازد نیز منتشر شد[۶].

بنابراین همیشه مراقب پست‌های الکترونیک phishing، اسپم‌ها و کلیک بر روی فایل‌های ضمیمه مخرب باشید.

شرکت Foxit در پاسخ به این دو آسیب‌پذیری این‌گونه اظهارنظر کرده است:

“نرم‌افزار Foxit عمیقاً متعهد به ارائه محصولات امن PDF به مشتریان خود است. همچنین سابقه ما نشان‌دهنده پاسخ دادن سریع و موفق به رفع آسیب‌پذیری‌ها است. ما در حال حاضر و با سرعت در حال کار بر روی این دو آسیب‌پذیری گزارش‌شده هستیم که در وبلاگ ZDI منتشر شده است و به‌زودی به‌روزرسانی‌های نرم‌افزاری مربوطه را منتشر خواهیم کرد. درعین‌حال کاربران با استفاده از حالت Safe Reading می‌توانند از خود در برابر این آسیب‌پذیری‌ها محافظت کنند. همچنین ما به خاطر سوءتفاهم ایجادشده اولیه در هنگامی‌که با این آسیب‌پذیری‌ها مواجه شدیم عذرخواهی می‌کنیم و در حال کار بر روی تغییر روش‌های خود هستیم که از به وجود آمدن مجدد سوءتفاهم‌های احتمالی در آینده جلوگیری کنیم.”