นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ zero-day ที่สำคัญสองข้อในซอฟต์แวร์ Foxit Reader ซึ่งอาจทำให้ผู้โจมตีสามารถรันโค้ดที่ต้องการบนคอมพิวเตอร์เป้าหมายได้หากไม่ได้กำหนดค่าให้เปิดไฟล์ใน Safe Reading Mode
ช่องโหว่แรก (CVE-2017-10951) เป็นข้อผิดพลาดในการป้อนคำสั่งในฟังก์ชัน app.launchURL ที่รันคำสั่งโดยผู้บุกรุกในระบบเป้าหมายเนื่องจากไม่มีการตรวจสอบที่ถูกต้อง ค้นพบโดยนักวิจัย Ariele Caltabiano ที่ทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro ช่องโหว่ที่สอง(CVE-2017-10952) ช่องโหว่นี้มีอยู่ภายในฟังก์ชัน JavaScript "saveAs" ที่ช่วยให้ผู้โจมตีสามารถเขียนไฟล์ได้ตามต้องการในระบบเป้าหมายได้โดยการฝังไฟล์ HTA ไว้ในเอกสาร ค้นพบโดยนักวิจัย Steven Seeley จาก The Offensive Security
จากข้อบกพร่องเหล่านี้ผู้บุกรุกสามารถใช้ประโยชน์ได้โดยการส่งไฟล์ PDF ที่สร้างขึ้นมาเป็นพิเศษไปยังผู้ใช้ Foxit และหลอกให้ผู้ใช้เปิดไฟล์
ทาง Foxit ยังคงปฏิเสธที่จะแก้ไขช่องโหว่ดังกล่าว โดยทาง Foxit ให้เหตุผลว่า Foxit Reader & PhantomPDF เปิดโหมดการใช้งาน "Safe Reading Mode" โดยค่าเริ่มต้นเพื่อควบคุมการทำงานของ JavaScript ซึ่งสามารถป้องกันอันตรายจากการกระทำที่ไม่ได้รับอนุญาตของ JavaScript ได้อย่างมีประสิทธิภาพ
อย่างไรก็ตามนักวิจัยเชื่อว่า "Safe Reading Mode" ไม่สามารถแก้ไขช่องโหว่นี้ได้อย่างสมบูรณ์ซึ่งหากยังคงไม่ได้รับการแก้ไขผู้บุกรุกอาจหาทางหลีกเลี่ยงโหมดดังกล่าวได้ในไม่ช้า
ผู้ใช้งาน Foxit Reader และ PhantomPDF ควรตรวจสอบว่าได้มีการเปิดใช้คุณลักษณะ "Safe Reading Mode"
หรือปิดการใช้งาน "Enable JavaScript Actions" จากเมนู Preferences ของ Foxit โดยวิธีนี้อาจทำให้ฟังก์ชันบางอย่างทำงานผิดปกติได้ อย่างไรก็ตามผู้ใช้ยังคงต้องระมัดระวังการเปิดไฟล์ใด ๆ ที่ได้รับผ่านทางอีเมลที่ไม่น่าเชื่อถือ
ที่มา : thehackernews
You must be logged in to post a comment.