Critical Use-After-Free Vulnerability Discovered in Foxit Reader (CVE-2024-28888)
2024/10/04 SecurityOnline — Foxit Reader バージョン 2024.1.0.23997 に、深刻なセキュリティ脆弱性 CVE-2024-28888 (CVSS:8.8) が発見された。この use-after-free の脆弱性の悪用に成功した攻撃者は、被害者のシステム上での任意のコード実行の可能性を手にする。この脆弱性は、Cisco Talos のセキュリティ研究者 KPC により発見されものであり、その悪用を実証する PoC エクスプロイト・コードも公開されている。
この脆弱性は、PDF ドキュメント内のチェックボックス・フィールド・オブジェクトを、Foxit Reader が処理する方法に起因している。具体的には、悪意の PDF に埋め込まれた特別に細工された JavaScript コードにより、use-after-free の状態が引き起こされることがある。このメモリ破損の悪用が成功すると、任意のコードが実行され、影響を受けるシステムのセキュリティが侵害される可能性が生じる。
この脆弱性を悪用する前提として、攻撃者はユーザーを騙して悪意の PDF ファイルを開かせる必要がある。このステップは、フィッシング・メールや、Web サイトからのダウンロードに加えて、各種のソーシャル・エンジニアリング手法により実現される。さらに、Foxit Reader ブラウザ・プラグインが有効化されている場合には、特別に細工された悪意の Web サイトにアクセスするだけで、ユーザーがファイルを開かなくても、エクスプロイトがトリガーされる可能性がある。
Foxit Reader は、Adobe Acrobat Reader に代わる機能豊富な PDF リーダーとして、世界中で最も人気のある PDF リーダーの1つである。JavaScript をサポートしているため、インタラクティブなドキュメントや、動的なフォームを作成できるが、攻撃の対象領域も増えることになる。V8 JavaScript エンジンは強力であるが、脆弱性が存在すると、高度な攻撃の媒介になる可能性が生じる。
すでに Foxit は、脆弱性 CVE-2024-28888 に対処する更新バージョンをリリースしている。したがって、ユーザーに対して強く推奨されるのは、最新バージョンへと直ちにアップデートすることだ。
さらに、ソフトウェアの更新に加えて、不明なソースからの PDF ファイルを開くときには注意が必要である。迷惑メールの添付ファイルなどに注意し、信頼できない Web サイト上の PDF リンクはクリックしないでほしい。
Foxit PDF Reader に関しては、2024/05/28 にも「Foxit PDF Reader/Editor の脆弱性 CVE-2024-29072 などが FIX:悪用が確認される!」という記事がポストされています。文中でも指摘されているように、Foxit PDF Editor との兼ね合いで、攻撃面積が広くなってしまっているのでしょう。よろしければ、PDF で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.