Vulnerabilidad crítica encontrada en Foxit PDF Reader


Los investigadores de seguridad han descubierto dos vulnerabilidades críticas de seguridad zero-day en el software Foxit Reader que podrían permitir a los atacantes ejecutar código arbitrario en un equipo de destino, si no está configurado para abrir archivos en el modo de lectura segura.

La primera vulnerabilidad (CVE-2017-10951) es un error de inyección de comandos descubierto por la investigadora Ariele Caltabiano que trabaja con Zero Day Initiative de Trend Micro (ZDI), mientras que el segundo bug (CVE-2017-10952) es un problema de escritura de archivos encontrado por Offensive Investigador de seguridad Steven Seeley.

Un atacante puede explotar estos errores enviando un archivo PDF especialmente diseñado a un usuario de Foxit y alentándolos a abrirlo.

Foxit se negó a parchear ambas vulnerabilidades porque no funcionaría con la función de “modo de lectura segura” que afortunadamente viene habilitada de forma predeterminada en Foxit Reader.

“Foxit Reader y PhantomPDF tiene un modo de lectura seguro que está habilitado por defecto para controlar el funcionamiento de JavaScript, que puede proteger eficazmente contra vulnerabilidades potenciales de acciones de JavaScript no autorizadas”, dice la compañía.

Sin embargo, los investigadores creen que la construcción de una mitigación no corrige completamente las vulnerabilidades, que si permanecen sin parches, podrían ser explotadas si los atacantes encuentran una forma de evitar el modo de lectura segura en un futuro próximo.

Las vulnerabilidades sin correcciones se pueden activar a través de la API de JavaScript en Foxit Reader.

CVE-2017-10951: El error de inyección de comandos reside en una función app.launchURL que ejecuta las cadenas proporcionadas por los atacantes en el sistema de destino debido a la falta de validación adecuada, como se demuestra en el vídeo que se muestra a continuación.

CVE-2017-10952: Esta vulnerabilidad existe dentro de la función JavaScript de “saveAs” que permite a los atacantes escribir un archivo arbitrario en un sistema específico en cualquier ubicación específica, como se demuestra en el vídeo que se muestra a continuación.

“Steven explotó esta vulnerabilidad incrustando un archivo HTA en el documento, luego llamando a saveAS para escribirlo en la carpeta de inicio, ejecutando código VBScript arbitrario en el inicio”, lee el aviso publicado por la ZDI.

Si usted es uno de los que utilizan Foxit Reader y PhantomPDF, asegúrese de que tiene activada la función “Modo de lectura segura”. Además, también puede desmarcar la opción “Activar Acciones de JavaScript” del menú Preferencias de Foxit, aunque esto puede romper algunas funcionalidades.

Los usuarios también son recomendados siempre para ser vigilante al abrir cualquier archivo que recibieron por correo electrónico. Recientemente, informamos de cómo abrir un archivo malicioso de PowerPoint podría comprometer su computadora con malware.

Por lo tanto, siempre tenga cuidado con los correos electrónicos de phishing, spams y haciendo clic en el archivo adjunto malicioso.

Vía |thehackernews

log in

reset password

Back to
log in