พบช่องโหว่บน Foxit PDF Reader แนะนำผู้ใช้ควรแพตช์อัปเดต

Foxit ได้ออกแพตช์อุตช่องโหว่ประมาณ 12 รายการบนผลิตภัณฑ์ PDF Reader ซึ่งแอปพลิเคชันฟรีและมีฟังก์ชันการทำงานเหมือนกับ Adobe Acrobat Reader เพื่อเปิดเอกสาร แก้ไข สร้าง เอกสาร PDF โดยช่องโหว่ส่งผลกระทบกับ Foxit Reader และ PhantomPDF เวอร์ชันก่อนหน้า 9.0.1.1049 แนะผู้ใช้ควรอัปเดต

Credit : en.wikipedia.org

Ye Yint Min Thu Htut ได้รายงานช่องโหว่ที่เกิดจากการเรียกใช้ DLL ที่ไม่ปลอดภัย ซึ่งมีสาเหตุจาก “เมื่อผู้ใช้งานเรียกใช้แอปพลิเคชันมันไม่ได้ส่งค่า Path ที่ดีพอในการโหลดไลบรารี่จากภายนอก” ดังนั้นมันจะทำให้เกิดข้อผิดพลาดในการเรียก DLL เพราะหาไฟล์ใน Path นี้ไม่เจอ ด้วยเหตุนี้เองผู้โจมตีสามารถวาง DLL ที่เป็นอันตรายใน Directory Path ที่ถูกระบุได้เพื่อทำให้เกิด Remote Code Execution

ช่องโหว่อื่นๆ ที่น่าสนใจถูกค้นพบโดยนักวิจัยด้านความมั่นคงปลอดภัยจาก Cisco Talos มีดังนี้

  • CVE-2017-14458, CVE-2018-3850 และ CVE-2018-3853 เป็นช่องโหว่ Use-after-free (ความพยายามในการเข้าถึงหน่วยความจำที่ถูกปล่อยไปแล้วซึ่งอาจทำให้เกิดการ Crash หรือ Remote code execution ตัวอย่าง UAF บน YouTube) ในกลไกของ JavaScript
  • CVE-2018-3842 เป็นช่องโหว่ของการไม่กำหนดค่าเริ่มต้นของ Pointer (Uninitialized Pointer) ใน JavaScript ของแอปพลิเคชันซึ่งอาจใช้ให้เกิด Remote Code Execution ได้
  • CVE-2018-3843 เปิดผลลัพธ์จากการที่ PDF Reader ​วิเคราะห์ไฟล์ที่เชื่อมโยงกับ Extension ผิดพลาด โดยเพียงแค่ประดิษฐ์ไฟล์ PDF แบบพิเศษขึ้นมาเพื่อใช้ช่องโหว่นี้และเปิดเผยถึงข้อมูลที่ละเอียดอ่อน หรืออาจจะนำไปสู่ Code Execution ได้

Foxit ได้แสดงรายละเอียดสำหรับผู้สนใจไว้ที่นี่ แนะนำควรอัปเดต Foxit Reader และ PhantomPDF เป็นเวอร์ชัน 9.1 ขึ้นไป

ที่มา : https://www.securityweek.com/code-execution-flaws-patched-foxit-pdf-reader 


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ผู้เชี่ยวชาญพบช่องโหว่บน Firmware ของชิป WiFi ยอดนิยมคาดกระทบอุปกรณ์หลายล้านชิ้น

Denis Selianin ผู้เชี่ยวชาญจาก Embedi ได้ค้นพบช่องโหว่บนบน ThreadX หรือ Real-time Operating System (RTOS) ยอดนิยมที่ถูกพัฒนาโดย Express Logic ซึ่งบริษัทอ้างว่าซอฟต์แวร์ได้ถูกนำไปใช้กับชิป …

PCI SSC ออกมาตรฐานใหม่ตอบโจทย์เทรนด์การพัฒนาซอฟต์แวร์ในปัจจุบัน

PCI SSC คณะกรรมการกำหนดมาตรฐานด้านความมั่นคงปลอดภัยของอุตสาหกรรมบัตรจ่ายเงินได้ประกาศออก Software Security Framework ที่เป็นมาตรฐานใหม่เพื่อตอบโจทย์เทรนด์ของการพัฒนาซอฟต์แวร์ปัจจุบันอย่างคอนเซปต์ DevOps หรือ Continous Delivery โดยคาดว่าจะนำมาใช้ได้ราวปี 2022 เพื่อแทนที่มาตรฐานเดิมอย่าง PA-DSS …