Pengguna Foxit PDF Reader Rawan Serangan Command Injection

Apakah Anda menggunakan Foxit PDF Reader? Jika iya, maka Anda perlu mewaspadainya, Karena belum lama ini peneliti keamanan telah menemukan dua kerentanan keamanan zero-day kritis di perangkat lunak Foxit Reader yang memungkinkan penyerang mengeksekusi kode pada komputer yang ditargetkan.

Kerentanan pertama (CVE-2017-10951) adalah command injection yang ditemukan oleh peneliti Ariele Caltabiano yang bekerja dengan Trend Micro's Zero Day Initiative (ZDI), sedangkan bug kedua (CVE-2017-10952) adalah file yang ditemukan oleh Offensive Security researcher - Steven Seeley.

Seorang penyerang dapat memanfaatkan bug ini dengan mengirimkan file PDF yang dibuat secara khusus ke pengguna Foxit dan menjebak mereka untuk membukanya.  Foxit hingga saat ini menolak untuk menambal kedua kerentanan tersebut karena mereka tidak akan bekerja dengan fitur "safe reading mode" yang diaktifkan secara default di Foxit Reader.

    "Foxit Reader & PhantomPDF memiliki Mode Membaca Aman yang diaktifkan secara default untuk mengendalikan berjalannya JavaScript, yang dapat secara efektif menjaga terhadap potensi kerentanan JavaScript yang tidak sah," kata perusahaan itu.

Kedua kerentanan dapat dipicu melalui API JavaScript di Foxit Reader. CVE-2017-10951: command injection berada pada fungsi app.launchURL untuk mengeksekusi string pada sistem yang ditargetkan karena kurangnya validasi yang tepat, seperti yang ditunjukkan pada video yang diberikan di bawah ini.

CVE-2017-10952: Kerentanan ini ada di dalam fungsi "saveAs" JavaScript yang memungkinkan penyerang menulis file pada sistem yang ditargetkan di lokasi tertentu, seperti yang ditunjukkan pada video di bawah ini.

 "Steven mengeksploitasi kerentanan ini dengan menyematkan file HTA di dokumen, lalu memanggil saveAS untuk menuliskannya ke folder startup, sehingga mengeksekusi kode VBScript saat startup," diterbitkan oleh ZDI.

Jika Anda salah satu dari mereka yang menggunakan Foxit Reader dan PhantomPDF, pastikan Anda memiliki fitur "Safe Reading Mode" yang diaktifkan. Selain itu, Anda juga dapat menghapus centang pada "Enable JavaScript Actions" dari menu Preferensi Foxit, meskipun hal ini dapat merusak beberapa fungsi.

Pengguna juga dianjurkan selalu waspada saat membuka file yang mereka terima via email. Baru-baru ini, kami melaporkan bagaimana membuka file PowerPoint yang berbahaya dapat membahayakan komputer Anda dengan perangkat lunak jahat. Jadi, selalu waspadalah terhadap email phishing, spam, dan klik attachment berbahaya.