افشای دو آسیب‌پذیری حیاتی در نرم‌افزار پی‌دی‌اف خوان Foxit

افشای دو آسیب‌پذیری حیاتی در نرم‌افزار پی‌دی‌اف خوان Foxit

شنبه, ۲۸ مرداد, ۱۳۹۶ ساعت ۸:۰۹

 

محققان امنیتی از شرکت ترندمیکرو، دو آسیب پذیریِ حیاتی اجرای کد را در نرم افزار پی دی اف خوان Foxit کشف کردند. شرکت تولیدکننده ی این محصول اعلام کرده قصد ندارد این آسیب پذیری ها را وصله کند چرا که در حالتی که کاربر حالت امن را برای نرم افزار انتخاب کرده باشد، بهره برداری از این آسیب پذیری ها ممکن نیست.


یکی از این آسیب پذیری های مهم دارای شناسی ی CVE-2017-10952 بوده و یک اشکال نوشتن فایل دلخواه است که تابع جاوا اسکریپت saveAs را تحت تأثیر قرار داده است. به گفته‌ی محققان این آسیب‌پذیری به این دلیل وجود دارد که در این نرم‌افزار، داده‌هایی که کاربر وارد می‌کند، به‌طور مناسب اعتبارسنجی نمی‌شود و در نتیجه مهاجم می‌تواند در مکان مشخصی از سیستم هدف، فایل‌های دلخواه خود را بنویسد. 


آسیب‌پذیری دیگر دارای درجه‌ی اهمیت متوسط بوده و شناسه‌ی CVE-2017-10951 به آن اختصاص داده شده است. این آسیب‌پذیری یک اشکال تزریق دستورات در نرم‌افزار است که در داخل تابع app.launchURL وجود دارد. این آسیب‌پذیری نیز به دلیل نبود اعتبارسنجی کامل بر روی رشته‌های ورودی توسط کاربر و اجرای آن‌ها به‌وجود آمده است. 


محققان امنیتی اشاره کردند که مهاجمان با ارسال یک فایل پی‌دی‌اف جعلی و مخرب و تحریک کاربر به باز کردن آن، می‌توانند از این دو آسیب‌پذیری بهره‌برداری کنند. ویدئوهایی برای اثباتِ مفهومی این آسیب‌پذیری‌ها نیز توسط محققان منتشر شده است. به دلیل اینکه شرکت سازنده اعلام کرده که این آسیب‌پذیری‌ها را وصله نخواهد کرد، محققان امنیتی مشاوره‌نامه‌ای را به‌طور عمومی منتشر کرده و با عملکرد این شرکت مخالف هستند.


محققان در توضیحات خود عنوان کردند که کاربران باید اطمینان حاصل کنند که در نرم‌افزار آن‌ها حالت امن فعال شده باشد و امیدوار باشند که محققان راهی برای دور زدن این حالت پیدا نکنند چرا که در این صورت، بهره‌برداری از آسیب‌پذیری‌ها ممکن خواهد بود. همچنین کاربران می‌توانند در این نرم‌افزار از منوی Preferences، تیک گزینه‌ی «فعال‌سازی عملیات جاوا اسکریپت» را بردارند هرچند که ممکن است برخی از قابلیت‌های نرم‌افزار مختل شود. در نهایت در یک به‌روزرسانی، شرکت سازنده‌ی Foxit به خبرگزاری‌ها اعلام کرده که آسیب‌پذیری‌ها را برطرف خواهد کرد.
 

 

منبع


پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

8 − 5 =