Foxit Software於上週發佈了Foxit Reader 9.3,修補超過100個安全漏洞,當中不乏可導致遠程程序攻擊的重大漏洞,而光是Cisco Talos研究人員就找出了18個漏洞。
Foxit Reader屬於免費增值(freemium)軟件,提供免費的基本功能與付費的高端功能,它可用來創建、查看、編輯或打印PDF文件,被視為是全球前十大最好用的PDF Reader之一,經常被用來取代Adobe Acrobat Reader。
找到Foxit Reader的18個安全漏洞的是Cisco Talos安全研究人員Aleksandar Nikolic,當中有7個漏洞為藏匿在JavaScript引擎的釋放後使用(use-after-free)漏洞,成功的開採將導致遠程程序攻擊。
Nikolic解釋,作為一個功能豐富的PDF Reader,Foxit支持JavaScript以提供交互文件及動態格式功能,當執行嵌入的JavaScript程序時,文件可被關閉,併發布許多用過的對象,然而該JavaScript卻會繼續執行,可能造成釋放後使用的狀況。
此外,它有許多攻擊途徑,例如誘導用戶打開一個惡意的PDF檔,或是用戶在瀏覽器上安裝了Foxit擴展程序,並瀏覽了惡意文件,都可能觸發相關漏洞。
另外也有不少漏洞屬於越界讀取信息披露(Out-of-Bounds Read information Disclosure)漏洞。
族繁不及備載的漏洞數量讓AI安全企業Vectra的安全分析主管Chris Morales在接受SCMedia訪問時指出,軟件原本就是複雜的,這些漏洞形態也是常見的,令他感到驚訝的是漏洞數量的龐大。
Morales認為,這樣的結果也許源自於Foxit Software工程師未能適當地檢驗軟件的程序代碼,或者是網絡安全研究人員利用機器學習技術來自動分析程序代碼,才能一次找出這麼多漏洞,不管是哪一項,企業都應該更認真地展開即時的威脅偵測並快速回應以降低漏洞所帶來的風險。
閱讀更多 十輪網 的文章
關鍵字: 信息安全 編程語言 JavaScript
