محققان امنیتی از شرکت ترندمیکرو، دو آسیب پذیریِ حیاتی اجرای کد را در نرم افزار پی دی اف خوان Foxit کشف کردند. شرکت تولیدکننده ی این محصول اعلام کرده قصد ندارد این آسیب پذیری ها را وصله کند چرا که در حالتی که کاربر حالت امن را برای نرم افزار انتخاب کرده باشد، بهره برداری از این آسیب پذیری ها ممکن نیست.
یکی از این آسیب پذیری های مهم دارای شناسی ی CVE-2017-10952 بوده و یک اشکال نوشتن فایل دلخواه است که تابع جاوا اسکریپت saveAs را تحت تأثیر قرار داده است. به گفتهی محققان این آسیبپذیری به این دلیل وجود دارد که در این نرمافزار، دادههایی که کاربر وارد میکند، بهطور مناسب اعتبارسنجی نمیشود و در نتیجه مهاجم میتواند در مکان مشخصی از سیستم هدف، فایلهای دلخواه خود را بنویسد.
آسیبپذیری دیگر دارای درجهی اهمیت متوسط بوده و شناسهی CVE-2017-10951 به آن اختصاص داده شده است. این آسیبپذیری یک اشکال تزریق دستورات در نرمافزار است که در داخل تابع app.launchURL وجود دارد. این آسیبپذیری نیز به دلیل نبود اعتبارسنجی کامل بر روی رشتههای ورودی توسط کاربر و اجرای آنها بهوجود آمده است.
محققان امنیتی اشاره کردند که مهاجمان با ارسال یک فایل پیدیاف جعلی و مخرب و تحریک کاربر به باز کردن آن، میتوانند از این دو آسیبپذیری بهرهبرداری کنند. ویدئوهایی برای اثباتِ مفهومی این آسیبپذیریها نیز توسط محققان منتشر شده است. به دلیل اینکه شرکت سازنده اعلام کرده که این آسیبپذیریها را وصله نخواهد کرد، محققان امنیتی مشاورهنامهای را بهطور عمومی منتشر کرده و با عملکرد این شرکت مخالف هستند.
محققان در توضیحات خود عنوان کردند که کاربران باید اطمینان حاصل کنند که در نرمافزار آنها حالت امن فعال شده باشد و امیدوار باشند که محققان راهی برای دور زدن این حالت پیدا نکنند چرا که در این صورت، بهرهبرداری از آسیبپذیریها ممکن خواهد بود. همچنین کاربران میتوانند در این نرمافزار از منوی Preferences، تیک گزینهی «فعالسازی عملیات جاوا اسکریپت» را بردارند هرچند که ممکن است برخی از قابلیتهای نرمافزار مختل شود. در نهایت در یک بهروزرسانی، شرکت سازندهی Foxit به خبرگزاریها اعلام کرده که آسیبپذیریها را برطرف خواهد کرد.
