مرکز آپا دانشگاه کردستان

شناسایی نقص امنیتی در Foxit Reader و قادر ساختن مهاجمین برای اجرای کد مخرب به وسیله فایل PDF

اخیرا یک نقص نرم افزاری در Foxit Reader شناسایی شده است که به مهاجمان اجازه می دهد تا کد مخرب را از طریق PDF اجرا کنند. Foxit Software، شرکتی که نرم افزار بسیار محبوب Foxit Reader را پشتیبانی می کند، برای رفع آسیب پذیری اجرای کد از راه دور (RCE) با شدت بالا که بر PDF Reader تأثیر دارد، به روزرسانی های امنیتی را منتشر کرده است. این نقص امنیتی می تواند به مهاجمان اجازه دهد کدهای مخربی را بر روی رایانه های ویندوزی کاربران اجرا کنند و به طور بالقوه کنترل را به دست بگیرند. لیست گسترده مشتریان سازمانی این شرکت شامل چندین شرکت با تکنولوژی بالا از جمله Google ،Intel ،NASDAQ ،Chevron ،British Airways ،Dell ،HP ، Lenovo و Asus است. استفاده پس از ضعف به وجود آمده، کاربران را در معرض حملات RCE قرار می دهد. آسیب پذیری با شدت بالا (با شناسه آسیب پذیری CVE-2021-21822) ناشی از خطای نرم افزاری Use After Free است که توسط Aleksandar Nikolic از Cisco Talos در موتور جاوا اسکریپت V8 که توسط Foxit Reader برای نمایش فرم های پویا و عناصر سند تعاملی استفاده شده است، پیدا شد. بهره برداری موفقیت آمیز از خطای نرم افزاری Use After Free می تواند منجر به نتایج غیرمنتظره ای از خرابی برنامه و خراب شدن داده ها تا اجرای کد دلخواه در رایانه های دارای نرم افزار آسیب پذیر شود. این نقص امنیتی ناشی از نحوه مدیریت انواع حاشیه نویسی ها در برنامه Foxit Reader و افزونه های مرورگر است که مهاجمان امکان سوء استفاده را با ایجاد کردن PDF های مخرب و اجرای کد دلخواه از طریق کنترل دقیق حافظه دارند. این آسیب پذیری بر Foxit Reader 10.1.3.37598 و نسخه های قبلی آن تأثیر می گذارد و با انتشار Foxit Reader 10.1.4.37651 این مشکل برطرف شد. برای جلوگیری از آسیب پذیری CVE-2021-21822، باید آخرین نسخه Foxit Reader را بارگیری کرده و سپس روی "Check for Updates" در بخش "Help" برنامه کلیک کنید. برطرف شدن آسیب پذیری های بیشتر در Foxit Reader 10.1.4 Foxit چندین نقص امنیتی دیگر را که در نسخه های قبلی Foxit Reader تأثیرگذار بود برطرف کرد و این نقص ها دستگاه های کاربران را در معرض DDoS، اجرای کد از راه دور، افشای اطلاعات، تزریق SQL،DLL Hijacking و سایر آسیب پذیری ها قرار داد. لیست کامل رفع مشکلات امنیتی در نسخه Foxit Reader 10.1.4 شامل موارد زیر است: • مواردی که در هنگام export کردن برخی از فایل های PDF به سایر فرمت ها، ممکن است در معرض آسیب پذیری و خرابی برنامه باشد. • مواردی که در هنگام استفاده از برخی فرم های XFA یا اشیاء پیوند داده شده، برنامه می تواند در معرض آسیب پذیری DDoS قرار گیرد و خراب شود. • مسائلی که برنامه در معرض آسیب پذیری و خرابی Denial of Service (DDoS)، Null Pointer Reference (اشاره گر به تهی)، Out-of-Bounds Read (خواندن خارج از حد مجاز)، Context Level Bypass ، Type Confusion یا Buffer Overflow (سرریز بافر) قرار می دهد، که می تواند توسط مهاجمان مورد بهره برداری قرار گیرد تا کد از راه دور را اجرا کنند. • مسئله ای که ممکن است به دلیل کنترل نامناسب دسترسی، برنامه در معرض آسیب پذیری حذف دلخواه پرونده باشد. • مسئله ای که برنامه می تواند اطلاعات امضای نادرست را برای برخی از فایل های PDF که حاوی امضاهای دیجیتال پنهان است، ارائه دهد. • مواردی که در هنگام راه اندازی برنامه می تواند در معرض آسیب پذیری DLL Hijacking قرار گیرد، که می تواند توسط مهاجمان مورد استفاده قرار گیرد تا با قرار دادن یک DLL مخرب در دایرکتوری با مسیر مشخص، کد راه دور را اجرا کند. • مسائلی که ممکن است در هنگام مدیریت برخی از فرم های JavaScript یا XFA، در معرض آسیب پذیری و خرابی Out-of-Bounds Write/Read (خواندن/نوشتن خارج از حد مجاز) اجرای کد از راه دور یا افشای اطلاعات باشد. • در هنگام تجزیه برخی از فایل های PDF حاوی مقدار کلیدی غیر استاندارد، مسئله ای که برنامه می تواند در معرض آسیب پذیری Out-of-Bounds Write (نوشتن خارج از حد مجاز) باشد. • مسئله ای که در آن برنامه هنگام تبدیل برخی از فایل های PDF به پرونده های Microsoft Office می تواند در معرض آسیب پذیری و خرابی Out-of-Bounds Write قرار گیرد. • مسائلی که با اجرای برخی JavaScript ها، برنامه در معرض آسیب پذیری اجرای کد از راه دور با نوشتن خودسرانه در پرونده باشد. • مواردی که برنامه می تواند در معرض آسیب پذیری اجرای کد از راه دور با تزریق SQL باشد. • مسئله ای که در آن برنامه می تواند در معرض آسیب پذیری و خرابی افشای اطلاعات متغیر مقداردهی نشده قرار گیرد. • مسائلی که برنامه می تواند در معرض آسیب پذیری و خرابی Out-of-Bounds Read (خواندن خارج از حد مجاز) یا Buffer Overflow Heap-Based (سرریز بافر Heap) قرار گیرد که توسط مهاجمان می تواند برای اجرای کد راه دور یا افشای اطلاعات حساس مورد بهره برداری قرار بگیرد. دو سال پیش، Foxit نشت داده ها را ناشی از دسترسی اشخاص ثالث غیر مجاز به اطلاعات شخصی 328،549 خدمات "My Account" کاربران، از جمله نام مشتری و شرکت، ایمیل ها، شماره تلفن ها و رمزهای عبور اعلام کرد. تهیه و تدوین: تینا احمدی