Исследователи нашли две критические уязвимости в Foxit Reader

Олег Иванов 18 Августа 2017 - 10:04

Домашние пользователи

Средства поиска уязвимостей

Уязвимости программ

Ошибки конфигурации программ

Патчи

...

Исследователи нашли две критические уязвимости в Foxit Reader

Исследователи безопасности обнаружили две критические уязвимости в Foxit Reader. Эти бреши могут позволить злоумышленникам выполнить произвольный код на целевом компьютере.

Первая уязвимость (CVE-2017-10951) - это ошибка командной инъекции, обнаруженная исследователем Ариэлем Кальтабиано (Ariele Caltabiano), который работает в рамках проекта Trend Micro Zero Day Initiative (ZDI). Вторая брешь (CVE-2017-10952) связана с файловой записью, была найдена исследователем Offensive Security Стивеном Сили (Steven Seeley).

Для того чтобы использовать эти две уязвимости, злоумышленник должен отправить пользователю Foxit специально созданный PDF-файл, и заставить открыть его. Примечательно, что команда Foxit отказалась устранять эти бреши по той причине, что они не представляют опасности с функцией безопасного чтения, которая, к счастью, включена по умолчанию в Foxit Reader.

«В наших продуктах Foxit Reader и PhantomPDF есть режим безопасного чтения, который по умолчанию включен, что позволяет контролировать выполнение JavaScript и защищать от его несанкционированных действий» - говорится в сообщении компании.

Однако эксперты полагают, что наличие безопасного режима не является достаточным основанием для того, чтобы оставить эти уязвимости нетронутыми. В конечном итоге злоумышленники могут нащупать способ обойти безопасный режим чтения в будущем.

Обе уязвимые уязвимости могут запускаться через API JavaScript в Foxit Reader. В случае с CVE-2017-10951 ошибка находится в функции app.launchURL из-за отсутствия правильной проверки. На видео эксперты наглядно продемонстрировали наличие этой проблемы.

CVE-2017-10952: эта уязвимость существует в JavaScript-функции «saveAs», которая позволяет злоумышленникам сохранить произвольный файл в целевой системе в любом месте. Исследователи также опубликовали видео использования этой бреши.

«Эксперт использовал эту уязвимость, вставив в документ HTA-файл, а затем вызвав saveAS, чтобы записать его в папку автозагрузки, тем самым выполнится произвольный код VBScript при запуске» - говорится в сообщении, опубликованном ZDI.

Если вы используете Foxit Reader или PhantomPDF, убедитесь, что функция «Безопасный режим чтения» включена. Пользователям также рекомендуется всегда проявлять бдительность при открытии любых файлов, полученных по электронной почте.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 02 Июня 2026 - 13:29

Корпорации Системы для анализа защищенности информационных систем Аудит информационной безопасности Сканеры исходного кода Positive Technologies

Positive Technologies научила ИИ замечать подозрительные сценарии в коде

Positive Technologies сообщила о разработке нейросети MOLOT, предназначенной для поиска вредоносного кода в проектах на Python, JavaScript и TypeScript. Технология уже используется в составе анализатора исходного кода PT Application Inspector версии 6.0.

В отличие от традиционных инструментов статического анализа, которые ищут опасные конструкции по заранее заданным правилам, новая модель анализирует последовательность действий, выполняемых программой.

Нейросеть оценивает не отдельные фрагменты кода, а их совокупность и пытается определить, формируют ли они подозрительный сценарий.

Проблема, которую пытаются решить разработчики, связана с так называемым намеренно внедрённым вредоносным кодом. В отличие от обычных уязвимостей, такой код не содержит ошибок, которые можно эксплуатировать извне. Он работает как легитимная часть приложения и использует те же права доступа, что и остальная программа.

По словам специалистов, именно поэтому многие подобные закладки остаются незамеченными при стандартных проверках безопасности.

Отдельные действия вредоносного кода сами по себе обычно не вызывают подозрений. Чтение файла, обращение к сети, шифрование данных или запуск процесса встречаются в тысячах обычных приложений. Однако если программа, например, считывает логины и пароли, кодирует их и затем отправляет на внешний сервер, такая последовательность уже может указывать на вредоносную активность.

Для анализа MOLOT строит цепочку действий программы — обращений к файлам, сетевых запросов, запуска процессов, использования криптографических функций и других операций. Затем эта последовательность передаётся в нейросеть, которая обучена отличать типичные сценарии работы приложений от поведения, характерного для вредоносного кода.

В компании утверждают, что тестирование проводилось на вредоносных пакетах из репозиториев PyPI и npm. По словам разработчиков, в ряде тестов модель показала более высокую точность по сравнению с существующими аналогами с открытым исходным кодом.

Одной из особенностей системы стала возможность объяснять свои выводы. Помимо самого вердикта нейросеть показывает строки кода, которые повлияли на решение. Это позволяет специалисту быстро перейти к подозрительному фрагменту и самостоятельно проверить результаты анализа.

Интерес к подобным инструментам растёт на фоне увеличения числа атак через цепочки поставок ПО, вредоносные пакеты в публичных репозиториях и распространения ИИ-инструментов для генерации программного кода.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!