CVE-2024-49576 and CVE-2024-47810: Foxit Addresses Remote Code Execution Flaws
2024/12/19 SecurityOnline — Foxit がリリースしたのは、広く使用されている Foxit PDF Reader/Editor に対する、重要なセキュリティ・アップデートである。この Update Version 2024.4 では、リモート コード実行/権限昇格/情報漏洩などのリスクをもたらす、複数の深刻な脆弱性が修正されている。
同社のセキュリティ情報で特定されているのは、Foxit PDF Reader/Editor の各バージョンに影響を及ぼす、いくつかの脆弱性である。その中には、以下の脆弱性が含まれる。
信頼できない URL 呼び出し:PDF ドキュメントに悪意のコードやイメージを埋め込むことで、攻撃者は、この欠陥を悪用する可能性を手にする。Foxit のドキュメントには、「この問題が発生するのは、アプリケーションがイメージ・リソースを解析する際に、すべてのリソース (信頼できないものを含む) からイメージをロードする場合である。またと、外部 HTTP サーバからコンテンツを取得する前に、ユーザーの確認を適切に要求できない場合にも発生する」と記されている。
不適切な署名検証:操作された XFA ドキュメントにより欺かれたユーザーが、変更された悪意のドキュメントに署名する可能性が生じる。Foxit は、「XFA ドキュメントを検証するアプリケーションが、”/NeedsRendering” キーまたは “TextField” フィールドへの変更を無視してしまうことで、この問題が発生する」と述べている。
情報漏えい:”app.openDoc”/”LaunchAction” 関数の欠陥により、ファイル・システムまたは SMB サーバから、攻撃者は機密データの窃取を可能にする。同社のセキュリティ情報が強調するのは、「これらのシナリオにおけるアプリケーションは、確認のための適切なプロンプトを、ユーザー提供していない」という点だ。
解放後メモリ使用の脆弱性:特定の AcroForms および 3D Page Object オブジェクトによりアプリケーションがクラッシュし、攻撃者はリモート・コード実行の可能性を手にする。この問題に関連するものとして、脆弱性 CVE-2024-49576/CVE-2024-47810 が挙げられる。
DLL ハイジャックと権限昇格:安全な検索パスと更新メカニズムに対する不適切な検証により、SYSTEM 権限での任意のコード実行の可能性を、攻撃者は手にする。
Foxit は、Trend Micro ZDI および Cisco Talos のセキュリティ研究者たちに、謝意を示している。
脆弱性の影響を受けるバージョンは、以下のとおりである:
- Foxit PDF Reader:バージョン 2024.3.0.26795 以下
- Foxit PDF Editor:バージョン 11.x 〜 2024.3
これらの脆弱性は、Windows プラットフォームに深刻な影響を及ぼすため、ユーザーに推奨されるのは、バージョン 2024.4 以降への速やかなアップグレードとなる。
Adobe は高額だし、それほどの機能は不要だと思う人たちが、Foxit のユーザーになっているのでしょう。したがって、日本国内でも、相当数の利用者がいると思われます。ご利用のチームは、ご注意ください。関連記事としては、2024/10/04 の「Foxit Reader の Use-After-Free の脆弱性 CVE-2024-28888 が FIX:PoC も公開」が直近のものとなっています。
IoT OT Security News 
You must be logged in to post a comment.