圖片來源: 

Foxit Software

Foxit Software於上周釋出了Foxit Reader 9.3,修補超過100個安全漏洞,當中不乏可導致遠端程式攻擊的重大漏洞,而光是Cisco Talos研究人員就找出了18個漏洞。

Foxit Reader屬於免費增值(freemium)軟體,提供免費的基本功能與付費的進階功能,它可用來建立、檢視、編輯或列印PDF檔案,被視為是全球前十大最好用的PDF Reader之一,經常被用來取代Adobe Acrobat Reader。

找到Foxit Reader的18個安全漏洞的是Cisco Talos安全研究人員Aleksandar Nikolic,當中有7個漏洞為藏匿在JavaScript引擎的釋放後使用(use-after-free)漏洞,成功的開採將導致遠端程式攻擊。

Nikolic解釋,作為一個功能豐富的PDF Reader,Foxit支援JavaScript以提供互動文件及動態格式功能,當執行嵌入的JavaScript程式時,文件可被關閉,並釋出許多用過的物件,然而該JavaScript卻會繼續執行,可能造成釋放後使用的狀況。

此外,它有許多攻擊途徑,例如誘導使用者開啟一個惡意的PDF檔,或是使用者在瀏覽器上安裝了Foxit擴充程式,並瀏覽了惡意文件,都可能觸發相關漏洞。

另外也有不少漏洞屬於越界讀取資訊揭露(Out-of-Bounds Read information Disclosure)漏洞。

族繁不及備載的漏洞數量讓AI安全業者Vectra的安全分析主管Chris Morales在接受SCMedia訪問時指出,軟體原本就是複雜的,這些漏洞型態也是常見的,令他感到驚訝的是漏洞數量的龐大。

Morales認為,這樣的結果也許源自於Foxit Software工程師未能適當地檢驗軟體的程式碼,或者是資安研究人員利用機器學習技術來自動分析程式碼,才能一次找出這麼多漏洞,不管是哪一項,業者都應該更認真地展開即時的威脅偵測並快速回應以降低漏洞所帶來的風險。


Advertisement

更多 iThome相關內容