Foram descobertas duas vulnerabilidades críticas 0-day no leitor de arquivos PDF, Foxit PDF Reader, o maior concorrente da Adobe, sendo o segundo software mais baixado nessa categoria no Brasil.
Os pesquisadores de segurança Steven Seeley e Ariele Caltabiano reportaram ao desenvolvedor do software as vulnerabilidades (CVE-2017-10951) e (CVE-2017-10952). As falhas permitem que atacantes remotos executem códigos arbitrários em um computador alvo e apesar de ser necessária a interação do usuário para explorar essas vulnerabilidades, isso não é um impeditivo segundo os pesquisadores, pois basta que a vítima visite uma site ou abra um arquivo contendo código malicioso, por exemplo, para que a execução seja realizada.
O atacante pode gerar um arquivo em PDF especialmente criado para um usuário que utilize o Foxit e nele atribuir os comandos para a execução das falhas.
Porém, mesmo diante a notificação das duas falhas, a Foxit se recusou a corrigir as vulnerabilidades, pois segundo a empresa, o recurso “Modo seguro de leitura” é ativado por padrão no Foxit Reader. Segue o comunicado oficial:
“O Foxit Reader & PhantomPDF possui um modo de leitura segura que está habilitado por padrão para controlar a execução do JavaScript, o que pode efetivamente proteger contra potenciais vulnerabilidades de ações de JavaScript não autorizadas”.
No entanto, os pesquisadores acreditam que construir uma mitigação não repara completamente as vulnerabilidades, o que, se mantido inalterado, poderia ser explorado se os invasores encontrarem uma maneira de ignorar o modo de leitura segura em um futuro próximo.
Ambas as vulnerabilidades não corrigidas podem ser ativadas através da API de JavaScript no Foxit Reader.
Abaixo uma demonstração em vídeo da vulnerabilidade CVE-2017-10951:
Outro vídeo, agora demonstrando a vulnerabilidade CVE-2017-10952:
Aos usuários do software Foxit PDF Reader, a recomendação é checar se o recurso “Modo seguro de leitura” está ativado. Além disso, os usuários também devem desmarcar a opção “Ativar ações do JavaScript” no menu Preferências do Foxit, embora isso possa interromper algumas funcionalidades.
Fontes consultadas: Latest Hacking News / Zero Day Initiative
Imagens/Vídeos: Latest Hacking News / Zero Day Initiative
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec
