Peneliti keamanan telah menemukan dua kerentanan zero-day dalam Foxit PDF Reader yang memungkinkan penyerang mengeksekusi kode arbitrary pada komputer yang ditargetkan, jika tidak dikonfigurasi untuk membuka file dalam Safe Reading Mode.
Kerentanan pertama (CVE-2017-10951) adalah bug command injection yang ditemukan oleh peneliti Ariele Caltabiano yang bekerja dengan Trend Micro Zero Day Initiative (ZDI), sedangkan bug kedua (CVE-2017-10952) adalah file write issue yang ditemukan oleh peniliti keamanan Offensive Security, Steven Seeley.
Seorang penyerang dapat memanfaatkan bug ini dengan mengirimkan file PDF yang dibuat secara khusus ke pengguna Foxit PDF Reader dan membuat mereka tertarik untuk membukanya.
Foxit PDF Reader menolak untuk menambal kedua kerentanan tersebut karena kerentanan tidak akan bekerja dengan fitur “safe reading mode” yang untungnya diaktifkan secara default di Foxit PDF Reader.
“Foxit PDF Reader & PhantomPDF memiliki Safe Reading Mode yang diaktifkan secara default untuk mengendalikan berjalannya JavaScript, yang dapat secara efektif menjaga terhadap potensi kerentanan dari tindakan JavaScript yang tidak sah,” kata perusahaan itu.
Namun, periset percaya bahwa membangun mitigasi tidak sepenuhnya menambal kerentanan, yang jika tetap tidak terpakai, dapat dimanfaatkan jika penyerang menemukan cara untuk melewati safe reading mode dalam waktu dekat.
Kedua kerentanan yang tidak dipasangkan ini dapat dipicu melalui API JavaScript di Foxit PDF Reader.
CVE-2017-10951: Bug command injection berada pada fungsi app.launchURL yang mengeksekusi string yang disediakan oleh penyerang pada sistem yang ditargetkan karena kurangnya validasi yang tepat, seperti yang ditunjukkan pada video yang diberikan di bawah ini.
CVE-2017-10952: Kerentanan ini ada di dalam fungsi “Save As” JavaScript yang memungkinkan penyerang menulis file dengan bebas pada sistem yang ditargetkan di lokasi tertentu, seperti yang ditunjukkan pada video yang diberikan di bawah ini.
“Steven mengeksploitasi kerentanan ini dengan menyematkan file HTA di dokumen, lalu memanggil saveAS untuk menuliskannya ke folder startup, sehingga mengeksekusi kode VBScript yang bebas saat startup,” menurut advisory yang diterbitkan oleh ZDI.
Jika kamu adalah salah satu dari mereka yang menggunakan Foxit PDF Reader dan PhantomPDF, pastikan kamu memiliki fitur “Safe Reading Mode” yang diaktifkan. Selain itu, kamu juga dapat menghapus centang pada “Enable JavaScript Actions” dari menu Preferensi Foxit PDF Reader, meskipun hal ini dapat merusak beberapa fungsi.
Pengguna juga dianjurkan selalu waspada saat membuka file yang mereka terima via email. Baru-baru ini, kami melaporkan bagaimana membuka file PowerPoint dapat membahayakan komputer dengan perangkat lunak berbahaya.
Jadi, selalu waspadalah terhadap email phishing, spam, dan lampiran berbahaya.
