В Foxit Reader обнаружены две уязвимости

24 Августа 2017, 19:18

Foxit Reader

Специалисты команды Zero Day Initiative (ZDI) компании Trend Micro и специалист фирмы Offensive Security рассказали об обнаружении сразу двух 0-day уязвимостей в популярном приложении для работы с PDF-файлами, Foxit Reader.

Исследователи пишут, что оба бага связаны с работой JavaScript API и их можно эксплуатировать через специально созданный вредоносный файл PDF, который жертва должна открыть в Foxit. При этом разработчики решения отказались выпускать патчи для данных проблем, мотивировав это тем, что уязвимости не работают в режиме Safe Reading (данный режим, к cчастью, включен в Foxit Reader по умолчанию).

Foxit Reader и PhantomPDF имеют режим Safe Reading, который включен по умолчанию и контролирует работу JavaScript, что помогает эффективно обезопасить [пользователей] от потенциальных уязвимостей, связанных с неавторизованными действиями JavaScript", — заявляют разработчики.

CVE-2017-10951: баг связан с app.launchURL и допускает внедрение команд (command injection) атакующим, которые будут выполнены app.launchURL за счет недостатка валидации. 

CVE-2017-10952: уязвимость связана с JavaScript-функцией saveAs и позволяет атакующему сохранить в целевой системе произвольный файл.

 

Foxit Reader: "Текущий драйвер печати недоступен"

24 Июня 2017, 16:23

При печати из Foxit Reader возникла ошибка "Текущий драйвер печати недоступен". И это при всем при том, что из других программ печать идет нормально.

Проблема решилась переключением на родной драйвер (стоял hp universal print driver).