2 logiciels de Foxit concernés par plusieurs vulnérabilités

Foxit Software a distribué des patchs de sécurité pour des dizaines de failles affectant ses plates-formes de lecture et d’édition de PDF. La faille la plus grave, qui se trouve sur les versions Windows du logiciel, permet à un pirate distant d’exécuter du code arbitraire sur les systèmes vulnérables.

Au total, Foxit Software a corrigé des failles liées à 20 CVE dans Foxit Reader et Foxit PhantomPDF (versions 9.7.1.29511 et antérieures) sur Windows. Foxit Reader est un logiciel PDF populaire qui a un nombre d’utilisateurs supérieur à 500 millions pour sa version gratuite. Le logiciel fournit des outils pour créer, signer et sécuriser des fichiers PDF. PhantomPDF, quant à lui, permet aux utilisateurs de convertir différents formats de fichiers au format PDF. En plus des millions d’utilisateurs particuliers pour ses logiciels, de grandes sociétés comme Amazon, Google et Microsoft utilisent aussi la technologie de Foxit Software.

«Plusieurs failles peuvent entraîner l’exécution de code à distance [RCE]», a expliqué Dustin Childs, directeur de la Zero Day Initiative de Trend Micro. “Elles doivent toutes être considérés comme critiques.”

Failles de Foxit Reader

Les failles importantes dans Foxit Reader permettent des exécutions de code à distance et ont été corrigés dans la version 9.7.2 de Foxit Reader. Dans le scénario d’attaque de ces failles, «une interaction de l’utilisateur est nécessaire pour exploiter cette vulnérabilité dans la mesure où la cible doit visiter une page malveillante ou ouvrir un fichier malveillant», selon une analyse de Zero Day Initiative.

foxit

Les vulnérabilités CVE-2020-10899 et CVE-2020-10907 se trouvent dans le traitement des modèles XFA, un modèle intégré aux fichiers PDF qui permet de remplir des champs. Les problèmes résultent tous deux du manque de validation de l’existence d’un objet avant d’effectuer des opérations sur cet objet. Un attaquant peut exploiter les deux failles pour exécuter du code dans le contexte du processus en cours. Les chercheurs ont également découvert une faille d’exécution de code à distance (CVE-2020-10900) dans le traitement des AcroForms. Les AcroForms sont des fichiers PDF qui contiennent des champs de formulaire. La faille existe car les AcroForms ne valident pas l’existence d’un objet avant d’effectuer des opérations sur cet objet.

Enfin, une faille (CVE-2020-10906) a été corrigée dans la méthode resetForm dans les PDF de Foxit Reader. Le problème ici est qu’il n’y a pas de vérification d’un objet avant d’effectuer des opérations sur l’objet, ouvrant le processus à une attaque d’exécution de code à distance.

Les failles de PhantomPDF

PhantomPDF a également corrigé plusieurs failles importantes, qui affectent les versions 9.7.1.29511 et antérieures. Les utilisateurs sont invités à effectuer la mise à jour vers la version 9.7.2 de PhantomPDF. Childs a déclaré que les plus graves d’entre elles étaient deux failles dans la communication API de PhantomPDF (CVE-2020-10890 et CVE-2020-10892). Les appels à l’API de PhantomPDF sont nécessaires pour créer des PDF à partir d’autres types de documents. Ces failles proviennent de la gestion de la commande ConvertToPDF et de la commande CombineFiles, qui permettent une écriture de fichier arbitraire avec des données contrôlées par le pirate.

«Les failles CVE-2020-10890 et CVE-2020-10892 se distinguent par leur relative facilité d’exploitation», a expliqué Childs.

L’autre faille importante (CVE-2020-10912) provient de la gestion de la commande SetFieldValue, qui est définie par les appels d’API. Un manque de validation appropriée des données fournies par l’utilisateur pour ces commandes entraîne une condition de confusion de type et une exécution de code arbitraire.

foxit

Pour toutes les failles ci-dessus, un pirate peut exécuter du code dans le contexte du processus en cours mais l’interaction de l’utilisateur est requise dans la mesure où la cible doit visiter une page malveillante ou ouvrir un fichier malveillant.

Faille dans le plugin 3D de Foxit Software

Des failles liées à 11 CVE ont également été corrigées dans la version bêta du plug-in U3DBrowser (9.7.1.29511 et versions antérieures), un plug-in de Foxit Reader et PhantomPDF qui permet de visualiser les annotations 3D intégrées dans des fichiers PDF. Les failles du plugin U3DBrowser proviennent spécifiquement de la gestion des objets U3D dans les fichiers PDF. Universal 3D (U3D) est une norme de format de fichier compressé pour les données graphiques 3D qui peut être insérée dans des fichiers PDF.

L’une des failles (CVE-2020-10896) est causée par un manque de validation de la longueur des données fournies par l’utilisateur avant de les copier en mémoire. Une faille similaire (CVE-2020-10893) résultant d’un manque de validation des données fournies par l’utilisateur peut entraîner une écriture après la fin d’une structure allouée. D’autres failles (CVE-2020-10895, CVE-2020-10902, CVE-2020-10904, CVE-2020-10898) résultent du manque de validation des données fournies par l’utilisateur, ce qui peut entraîner une lecture après la fin de une structure allouée.

Pour résoudre ces problèmes, Foxit a distribué la version 9.7.2.29539 du plugin 3D sur Foxit Reader et PhantomPDF.

Il est donc recommandé de mettre à jour vos logiciels le plus vite possible.

En octobre 2019, Foxit Software a publié des patchs de sécurité pour huit failles affectant Foxit Reader, et en octobre 2018, plus de 100 vulnérabilités avaient été patchées. En Août 2019, la compagnie avait été victime d’une brèche de données.