PDF je prokleté – zranitelný je i prohlížeč Foxit

Všichni, kdo z libovolných důvodů namísto Acrobat Readeru používají prohlížeč PDF Foxit, se mohli radovat, že se jich chyba, o níž jsme na SecurityWorldu nedávno dvakrát psali, netýká. Zranitelný přece nebyl formát PDF jako takový, ale jeho zpracování v Acrobatu...


Jenže ani alternativní prohlížeč Foxit není bezchybný a byl zranitelný, jen tyto zranitelnosti nebyly tolik publikovány. Společnost Foxit Software vydala včera opravy třech bezpečnostních děr. Zajímavé přitom je, že jedna z těchto zranitelností, spočívající ve zpracování obrázku komprimovaného do formátu JBIG2, má zřejmě vztah i chybě v Adobe Acrobatu. Obě chyby se týkají parseru pro JBIG2 a společnost Secunia, která zranitelnost programu Foxit objevila jako první, vyšla při svém pátrání z již známé chyby v produktech Adobe. Chyba ve Foxitu byla tedy objevena později, ale opravy se dočkala dříve. Jinak nemají obě chyby podle Secunie nic společného.

Další dvě právě opravené zranitelnosti Foxitu objevila společnost Core Security zabývající se penetračním testováním. Jedna z těchto chyb dovoluje buffer overflow, druhá pak umožňuje obejít při otevření dokumentu bezpečnostní nastavení a provést útočníkem definované kroky, které by jinak musel uživatel potvrdit.

Opravy jsou k dispozici na stránkách společnosti Foxit Software.

 

Zdroj: Computerworld.com

 

Viz také:

Vypnutí JavaScriptu Acrobat Reader neochrání

Neoficiální záplata pro Acrobat Reader je na světě

 











Komentáře