CH azonosító
CH-4552Angol cím
Foxit Reader "createDataObject()" Arbitrary File Creation VulnerabilityFelfedezés dátuma
2011.03.14.Súlyosság
KözepesÖsszefoglaló
A Foxit Reader olyan sérülékenységét jelentették, amelyet a támadók kihasználva feltörhetik a felhasználó sérülékeny rendszerét.
Leírás
A sérülékenységet a JavaScript API nem biztonságos “createDataObject()” függvényénék hibája okozza, mely lehetővé teszi tetszőleges fájlok létrehozását ellenőrzött tartalommal egy speciálisan megszerkesztett PDF fájl segítségével.
A sérülékenység sikeres kihasználásához szükséges a “Safe Reading Mode” funkció letiltása (alapértelmezetten engedélyezett).
A sérülékenységet a 4.3.1.0118 és 4.3.1.0218 verziókban jelentették. Más verziók is érintettek lehetnek.
Megoldás
Ne nyisson meg nem megbízható forrásból származó PDF fájlokat!
Támadás típusa
Input manipulation (Bemenet módosítás)Security bypass (Biztonsági szabályok megkerülése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 43776
Egyéb referencia: scarybeastsecurity.blogspot.com