وصله‌ی هشت آسیب‌پذیری با شدت بالا در Foxit Reader

هشت #‫آسیب‌پذیری با شدت بالا در Foxit Reader که نرم‌افزار معروف PDF است وجود دارد که در حال حاضر وصله‌های آن‌ها توسط شرکت Foxit Software (شرکت پشتیبان Foxit Reader) وصله شده‌اند. این نقص‌ها در نسخه‌های ویندوزی Foxit Reader وجود دارند و به یک مهاجم راه‌دور اجازه می‌دهند کد دلخواه را در سیستم‌های آسیب‌پذیر اجرا کنند.

شرکت Foxit Software نسخه‌ی Foxit Reader 9.7را جهت رفع مشکلات امنیتی احتمالی، منتشر ساخته است و اصرار دارد مشتریانش ابزار خود را به آخرین نسخه، به‌روزرسانی کنند.

شدیدترین این نقص‌ها که با شناسه‌ی CVE-2019-5031 ردیابی می‌شود و دارای امتیاز CVSS 8.8از 10.0 است، در روش تعامل Foxit Reader با موتور جاوااسکریپت (برنامه‌ای که کد جاوااسکریپت را اجرا می‌کند) وجود دارد. Foxit Reader می‌تواند برای اسناد تعاملی و فرم‌های پویا از جاوااسکریپت پشتیبانی کند. به عنوان مثال، هنگامی که یک کاربر، یک سند PDFرا باز می‌کند، Foxit Reader می‌تواند جاوااسکریپت را اجرا کند؛ اما، هنگامی که نسخه‌های خاصی از موتور جاوااسکریپت (نسخه 7.5.45و نسخه‌های پیشین در موتور V8 JavaScript) در نسخه‌ی 9.4.1.16828 Foxit Reader استفاده می‌شوند، می‌توانند منجر به اجرای کد دلخواه و انکار سرویس شوند. دلیل این امر این است که در نسخه‌ی متأثر Foxit Reader، بازکردن موتور جاوااسکریپت منجر به اختصاص حجم زیادی حافظه می‌شود که به سرعت، تمام حافظه‌های موجود را مصرف می‌کند. این امر معمولاً منجر به شناسایی یک حالت خارج از حافظه می‌شود و فرایند خاتمه می‌یابد.

به گفته‌ی Cisco Talos، در یک سناریوی حمله، یک سند PDF دستکاری‌شده‌ی خاص می‌تواند یک وضعیت خارج از حافظه که به صورت صحیح مدیریت نشده است، ایجاد کند و منجر به اجرای کد دلخواه شود. جهت سوءاستفاده از این آسیب‌پذیری، لازم است مهاجم یک کاربر را به بازکردن یک فایل مخرب فریب دهد. فعال بودن افزونه‌ی پلاگین مرورگر نیز می‌تواند منجر به سوءاستفاده از این آسیب‌پذیری شود.

سایر آسیب‌پذیری‌های با شدت بالا در Foxit Reader، دارای امتیاز 7.8از 10در مقیاس CVSS هستند. تمامی این آسیب‌پذیری‌ها به مهاجم راه‌دور اجازه‌ی دسترسی به قربانیان را می‌دهند. Foxit به کاربران ویندوز که دارای نسخه‌ی 9.6.0.25114و پیش از آن هستند توصیه می‌کند، Foxit Reader را به 9.7و پس از آن ارتقا دهند.

سه مورد از این نقص‌ها (CVE-2019-13326، CVE-2019-13327، CVE-2019-13328)، مربوط به روش پردازش فیلدهای درون اشیای AcroForm هستند. AcroForm، فایل‌های PDFهستند که شامل فیلدهای فرم هستند و داده‌ها می‌توانند وارد این فیلدها شوند. این مشکلات از عدم اعتبارسنجی وجود یک شیء پیش از انجام عملیات بر روی شئ ناشی می‌شوند. مهاجم می‌تواند از این آسیب‌‌پذیری به‌منظور اجرای کد، در متن فرایند فعلی، سوءاستفاده کند.

چهار آسیب‌پذیری با شدت بالای دیگر در Foxit Reader، مربوط به روش مدیریت فایل‌های TIF (CVE-2019-13329)، فایل‌های JPG (CVE-2019-13330,CVE-2019-13331)و الگوهای فرم XFA (CVE-2019-13332)توسط Foxit Readerهستند. XFA مخفف XML Forms Architecture و خانواده‌ای از مشخصات اختصاصی XMLاست که توسط JetForm جهت بهبود پردازش فرم‌های وب ارایه شده است.

این نقص‌ها به مهاجمین راه‌دور اجازه می‌دهند تا کد دلخواه را در نصب‌های متأثر Foxit Reader اجرا کنند. اما در همه‌ی آن‌ها، هدف ابتدا باید به یک صفحه مخرب مراجعه یا یک پرونده مخرب را باز کند.