Foxit Readerに未修正の脆弱性2件　修正予定は無し

headless曰く、　Windows用PDFリーダー「Foxit Reader（日本語版）」の未修正脆弱性2件をZero Day Initiativeが公表した（ZDI-17-691/CVE-2017-10951、ZDI-17-692/CVE-2017-10952、Register、AusCERT — ESB-2017.2088）。

　CVE-2017-10951の問題はapp.launchURLメソッドに存在し、システムコールを実行する前にユーザーが与えるデータを適切に確認しないというもの。CVE-2017-10952の問題はJavaScriptで書かれたsaveAs関数に存在し、ユーザーが与えるデータに対する適切な確認が行われないため、攻撃者の制御下にある場所に任意のファイルを保存できるというものだ。2件とも攻撃用のWebページまたはドキュメントをターゲットに開かせることで、リモートの攻撃者は現在のプロセスのコンテキストで任意コード実行が可能になる。

　Zero Day InitiativeではCVE-2017-10951を5月18日、CVE-2017-10952を6月22日にFoxitへ通知している。しかし、何度かのやり取りののち、Foxit側がFoxit Readerのデフォルトで有効になっている「保護モード」により緩和できるため修正は行わないとの考えを示したという。そのため、Zero Day Initiativeは通常の公表期限である120日を待たず、ゼロデイ脆弱性として公表に踏み切ったようだ。

　なお、Foxit Readerの保護モードはセットアップ時にオプションとして提示され、デフォルトでオンになっている。セットアップ後は「ファイル」メニューから「環境設定」を開き、「トラストマネージャー」で設定を変更できる。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | ソフトウェア | バグ

　関連ストーリー：
IE11とFirefoxのAdobe PDFで意図しない情報漏洩の可能性 2016年11月17日
EdgeブラウザのPDFビューア機能は攻撃に使われる可能性がある 2016年03月07日
5千万件目のマルウェアはAdobe Readerを狙う 2011年01月29日