Phát hiện hai lỗ hổng Zero-day quan trọng trong Foxit PDF Reader

Các nhà nghiên cứu an ninh vừa phát hiện 2 lỗ hổng bảo mật Zero-day rất nghiêm trọng trên phần mềm Foxit Reader, có thể cho phép hacker thực thi đoạn mã ngẫu nhiên trên máy tính mục tiêu nếu như không được cấu hình để mở tập tin bằng chế độ Safe Reading Mode.

Lỗ hổng đầu tiên (CVE-2017-10951) là một bug Command Injection được phát hiện bởi nhà nghiên cứu Ariele Caltabiano, làm việc tại Zero Day Initiative (ZDI) của Trend Micro. Còn lỗ hổng thứ hai (CVE-2017-10952) là một File Write được tìm ra bởi nhà nghiên cứu Steven Seeley tại Offensive Security.

Kẻ tấn công có thể khai thác những lỗ hổng này bằng cách gửi một tập tin PDF được tạo riêng và buộc họ phải mở chúng. Foxit từ chối vá cả 2 lỗ hổng này vì chúng không có ảnh hưởng với Safe Reading Mode, tính năng được bật mặc định trên Foxit Reader.

“Foxit Reader & PhantomPDF có chế độ Safe Reading Mode được bật mặc định, dùng để kiểm soát việc chạy JavaScript. Nó có thể bảo vệ khỏi các hoạt động JavaScript chưa được xác thực”, công ty cho biết.

Tuy vậy, các nhà nghiên cứu nói rằng cách giảm nhẹ không hoàn toàn vá được lỗ hổng. Nếu tiếp tục không được vá, nó có thể bị khai thác nếu kẻ tấn công tìm được cách vượt qua chế độ Safe Reading Mode trong tương lai.

Cả hai lỗ hổng chưa được vá có thể được gọi qua JavaScript API trên Foxit Reader.

• CVE-2017-10951: Bug Command Injection nằm trên hàm app.launchURL thực thi chuỗi mà kẻ tấn công cung cấp trên hệ thống mục tiêu do thiếu việc xác thực hợp lý, được mô tả trong video dưới đây.

• CVE-2017-10952: Lỗ hổng nằm trên hàm JavaScript saveAs cho phép kẻ tấn công viết một tập tin ngẫu nhiên trên hệ thống mục tiêu tại bất kì địa chỉ này, được mô tả trong video dưới đây.

“Steven đã khai thác lỗ hổng này bằng cách nhúng tập tin HTA vào file văn bản, sau đó gọi hàm saveAs để viết nó lên thư mục startup, rồi thực thi đoạn mã VBScript ngẫu nhiên”, báo cáo của ZDI cho biết.

Nếu đang sử dụng Foxit Reader hay PhantomPDF, hãy đảm bảo bạn đang bật chế độ Safe Reading Mode. Ngoài ra, bạn có thể bỏ chọn Enable JavaScript Actions trên mục Preferences của Foxit, dù điều này có thể ảnh hưởng tới một số tính năng. Người dùng cũng được khuyến khích luôn cảnh giác khi mở bất kì tập tin nào nhận được qua email.