论及要查看PDF文件,免费的阅读器Foxit Reader可是相当受到欢迎,全球就有超过5亿用户,也曾被列为10大好用的PDF阅读器之一,更有不少人拿来取代Acrobat Reader。因为使用的用户数量相当多,近年来黑客也试图发掘其中的漏洞加以滥用。最近Zero Day Initiative(ZDI)披露了20个Foxit软件的漏洞,其中部分的漏洞,可让黑客远程执行任意程序代码(Remote Code Execution,RCE)攻击,无论是免费的Foxit Reader,还是具备编辑PDF功能的PhantomPDF,都在漏洞的影响范围。Foxit也推出新的9.7.2版来修补这些漏洞。
虽然Foxit Reader是许多人拿来取代Acrobat Reader的首选,但是也因为树大招风,近期出现漏洞或是攻击事件也时有耳闻,例如,去年下旬便传出该公司提供Foxit软件用户的My Account遭黑,而引发关注。
这些漏洞影响了Foxit Reader和PhantomPDF的9.7.1.29511及之前的版本,其中有4个是影响Foxit Reader的高风险漏洞,黑客能借此发动远程执行任意程序代码的攻击,CVSS风险指标都是7.8分。编号为CVE-2020-10899与CVE-2020-10907的2个漏洞,存在于XFA范本,另外2个漏洞则分别出现于AcroForms及resetForm方法之中。
这次披露的Foxit软件的漏洞,不少可让黑客发动远程执行任意程序代码的攻击,CVSS的风险指标也达到7.8分的重大等级。(图片来源:Zero Day Initiative)
对于编辑PDF的PhantomPDF软件而言,最严重的是API通信的两个漏洞,它们是CVE-2020-10890和CVE-2020-10892。这两个漏洞存在于从其他类型文件创建新的PDF文件时,PhantomPDF必须访问API,来执行转档和组合文件的命令,而导致攻击者能够将任意的资料写入PDF文件。
这20个受到修补的漏洞中,有一些是与前述Foxit两款软件的3D插件模块有关,该公司也对于这个模块,推出新的9.7.2.29539版。
3D插件模块的功能,就是让Foxit Reader与Phantom能够支持如图中含有3D对象的PDF文件,用户能操作文件中的对象,或是切换视角进行查看等工作。而目前这项Foxit插件模块仍为测试版本,需要搭配9.1以上版本的Foxit软件才能运行。