福昕PDF阅读器存在2处高危漏洞:厂商拒绝修复

近日，安全研究人员分析福昕（Foxit）FDF阅读器的时候，发现了其中隐藏的两个严重的0day漏洞，如果用户未曾将阅读器配置为安全阅读模式下打开文件的话，就会被攻击者利用此漏洞在目标计算机中执行任意代码，因此，使用福昕PDF阅读器的用户要特别注意！

一、福昕PDF阅读器漏洞解析

第一个0day漏洞 (CVE-2017-10951) 是一个命令注入漏洞，由趋势科技ZDI和研究员Ariele Caltabiano一起发现，该漏洞存在于app.launchURL函数中，由于缺乏正确的验证方式，该函数能执行由攻击者提供的字符串。

第二个漏洞是文件写入问题 (CVE-2017-10952)，由Offensive Security公司的研究员Steven Seeley发现，该漏洞存在于 “saveAs” JavaScript函数中，可以将一个HTA文件嵌入到文档中，然后调用saveAS将其写入启动文件夹，从而实现启动时允许攻击者在目标系统中的执行任意VBScript代码的操作。

攻击者可以利用这两个0day漏洞，将特别编制的PDF文件发送给福昕PDF阅读器用户，诱导他们通过非安全阅读模式打开这些文件，从而攻击受害者终端设备。

二、福昕公司拒绝修复漏洞

对于安全研究人员提出的这两个0day漏洞，福昕公司拒绝修复并指出：福昕Reader & PhantomPDF存在默认启用的安全阅读模式来控制JavaScript的运行，它可以有效阻止来自未经授权的JavaScript动作的潜在漏洞问题。

三、漏洞可以通过JavaScript API触发

安全研究人员认为，通过启用默认的安全阅读模式来控制JavaScript的运行，虽然可以有效阻止来自未经授权的JavaScript动作的潜在漏洞问题，但仅仅只能起到缓解作用，根本无法做到完全修复这些漏洞的目的。

如果这些漏洞不能即时修复的话，那么攻击者只需要找到绕过安全阅读模式的方法去利用这些漏洞，据了解， 这两个0day漏洞都可以通过福昕阅读器的JavaScript API被触发。

四、给用户的建议

针对以上漏洞，安全专家建议受影响的用户最好是可以启用福昕PDF阅读器的“安全阅读模式”功能，必要的话也可以对“偏好”目录中的“启用JavaScript动作”选项设置勾选为取消状态，尽管这样可能会导致某些用户的使用体验受到影响， 但从安全角度来说还是很有必要的。

事实上，福昕公司之所以会对PDF阅读器的上述漏洞拒绝修复，笔者认为应该是出于使用体验和工具本身默认是启用安全阅读模式的，但基于安全角度考虑，笔者还是建议能够对已知的漏洞进行修复，防止有攻击者利用这些漏洞发起攻击。

最新消息：福昕公司已经将修复提上日程，预计将在一周内修复该漏洞，特此公告声明！