Foxit weigert lekken in pdf-lezer te dichten
Het Zero Day Initiative heeft twee lekken in Foxit Reader publiek gemaakt. 120 dagen geleden waarschuwde de organisatie Foxit voor de veiligheidsproblemen in zijn pdf-lezer, maar het bedrijf heeft de lekken niet gedicht. Het Zero Day Initiative waarschuwt daarom alle gebruikers van de populaire pdf-lezer voor de gevaren van de software.
Lekken
Het eerste lek, CVE-2017-10951, is pas gevaarlijk wanneer je een kwaadaardige website bezoekt of een gevaarlijk bestand opent. Het probleem bevindt zich in de app.launchURL-methode. Foxit Reader heeft geen goede validatiemethode voor de string die door gebruikers gegenereerd wordt, alvorens de software een system call uitvoert. Een aanvaller kan deze kwetsbaarheid misbruiken om code uit te voeren binnen het huidige proces.
Een tweede probleem, met de codenaam DVE-2017-10952, bevindt zich in de saveAs-Javascript-functie. De data die een gebruiker aanbiedt, wordt niet voldoende nagekeken, waardoor een aanvaller willekeurige bestanden kan schrijven in locaties die hij controleert. Beide aanvallen zijn gelukkig beperkt tot de rechten van de gebruiker.
Bescherming
Het Zero Day Initiative publiceerde de lekken zoals gewoonlijk na 120 dagen toen duidelijk werd dat Foxit niet van plan is om de lekken te dichten. “Foxit Reader & PhantomPDF heeft een Safe Reading Mode dat standaard is ingeschakeld om JavaScript te controleren. De modus beschermt je tegen potentiële kwetsbaarheden van ongeautoriseerde JavaScript-acties,” schrijft het bedrijf.
Gebruikers doen er daarom goed aan de Safe Reading Mode te allen tijde aan te laten staan. AusCERT gaat zelfs zo ver om te suggereren dat je de pdf-lezer enkel mag gebruiken voor vertrouwde bestanden.
