福昕PDF阅读器中出现两个严重的0day漏洞

▌作者：Wang Wei

▌翻译：360代码卫士团队

前言

使用福昕 (Foxit) PDF阅读器的用户要特别注意了，安全研究人员在其中发现了两个严重的0day漏洞，如未将阅读器配置为在安全阅读模式下打开文件，就会让攻击者在目标计算机上执行任意代码。

福昕公司拒绝修复

第一个0day漏洞 (CVE-2017-10951) 是一个命令注入漏洞，由趋势科技ZDI和研究员Ariele Caltabiano一起发现；第二个漏洞是文件写入问题 (CVE-2017-10952)，由Offensive Security公司的研究员Steven Seeley发现。

攻击者可通过将特别编制的PDF文件发送给福昕用户并诱导他们打开的方式利用这些漏洞。福昕公司拒绝修复这两个漏洞并指出，“福昕Reader & PhantomPDF存在默认启用的安全阅读模式来控制JavaScript的运行，它能有效地阻止来自未经授权的JavaScript动作的潜在漏洞问题。”

可通过JavaScript API触发

然而，研究人员认为构建这种缓解措施并无法完全修复这些漏洞，如不修复，那么只要攻击者找到绕过安全阅读模式的方法就能利用它们。这两个0day漏洞都能够通过福昕阅读器JavaScript API被触发。

命令代码注入漏洞 (CVE-2017-10951) 存在于app.launchURL函数中，由于缺乏正确的验证方式，该函数能执行由攻击者提供的字符串（演示视频见原文）。

文件写入漏洞 (CVE-2017-10952) 存在于 “saveAs” JavaScript函数中，它能让攻击者在目标系统中的任意具体位置写入一个任意文件（演示视频见原文）。ZDI指出，“Steven 通过将一个HTA文件内嵌到文档，然后调用saveAS将其写入启动文件夹从而在启动时执行任意VBScript代码的方式利用这个漏洞。”

建议用户启用“安全阅读模式”功能，另外，取消勾选福昕“偏好”目录中的“启用JavaScript动作”选项，不过这样做可能会影响一些功能的使用。用户在打开由邮件收到的文件时要保持警惕。最近研究人员发现只要打开一张恶意PPT文件就能感染用户计算机。因此，要留心钓鱼邮件、垃圾信息以及恶意附件。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。