Foxit Software ha solucionado el pasado 26 de Agosto con la versión 8.3.2 dos vulnerabilidades 0-Day en su lector de documentos PDF, Foxit Reader y en su software de edición de documentos del mismo tipo PhantomPDF,. Los arreglos vienen siguiendo un largo debate entre Zero Day Initiative y Foxit, que dijo hace varias semanas que no arreglaría las vulnerabilidades. ZDI había revelado en el blog de Zero Day Initiative las vulnerabilidades en el mes de Mayo (CVE-2017-10952 y CVE-2017-10951). Ahora en Foxit Software han cambiado de opinión luego de que ZDI revelara los detalles de las vulnerabilidades.

Ariele Caltabiano y Steven Seeley, los investigadores que encontraron los bugs, descubrieron que podrían ser activados a través de la API JavaScript de Foxit Reader. Las vulnerabilidades permiten la inyección de comandos y la escritura de archivos y pueden ser explotadas si un atacante evita el Modo de Lectura Segura (Safe Reading Mode), una características añadida a el software de Foxit en el año 2010 con el objetivo de prevenir acciones dañinas en documentos PDF.

En Foxit Reader y PhantomPDF de forma predeterminada, el Modo de Lectura Segura está habilitado, pero un usuario puede desactivarlo a través de la configuración de las Preferencias (Preference). Asumiendo que un atacante podría conseguir que una víctima visite una página maliciosa o abra un archivo malicioso, la vulnerabilidad de escritura de archivos podría permitir a un atacante remoto ejecutar código arbitrario en el sistema. El fallo está en la función JavaScript “saveAs” (salvar Como).

La segunda vulnerabilidad de inyección de comandos, también podría permitir a un atacante ejecutar código arbitrario bajo las mismas condiciones. Ese fallo está en el método app.launchURL del software. “El problema se debe a la falta de validación adecuada de una cadena suministrada por el usuario antes de usarla para ejecutar una llamada al sistema”, dijeron el pasado 17 de agosto desde ZDI. Además, agregaron que “Un atacante puede aprovechar esta vulnerabilidad para ejecutar código bajo el contexto del proceso actual”.

Foxit dijo que no podría reproducir los problemas que ZDI describió en Junio, y en el mes de Julio dijo que no solucionaría las vulnerabilidades porque podrían ser mitigadas a través del Modo Seguro del software. Esa solución no le gusto a ZDI, que le dijo a la compañía Foxit Software el 8 de agosto que movería las vulnerabilidades al estado de día cero. Como lo había prometido, ZDI dio a conocer en su blog detalles sobre ambas vulnerabilidades en un artículo publicado el 17 de Agosto pasado.

Posteriormente Foxit emitió una declaración pidiendo disculpas por lo que llamó su falta de comunicación inicial que condujo a los arreglos de las vulnerabilidades la semana pasada.

“Foxit Software está profundamente comprometido con la entrega de productos para documentos PDF seguros a sus clientes. Nuestro historial es fuerte en la respuesta rápida en la fijación de vulnerabilidades. Actualmente estamos trabajando para resolver rápidamente las dos vulnerabilidades reportadas en el blog de Zero Day Initiative y entregaremos rápidamente mejoras de software. Pedimos disculpas por nuestra falta de comunicación inicial cuando contactado acerca de estas vulnerabilidades y están haciendo cambios en nuestros procedimientos para mitigar la probabilidad de que vuelva a ocurrir “.

Se recomienda a los usuarios de PDF Foxit Reader y PhantomPDF a la mayor brevedad posible de actualizar a la versión 8.3.2 o superior.

Fuente: Threat Post

Anuncios