PDF-leseren Foxit Reader for Windows har fått mange brukere fordi Adobes tilsvarende Reader-programvare har framstått som tungdrevet og full av sikkerhetshull. Siden 2008 har det blitt funnet over 500 sårbarheter i Adobe Reader. Til sammenligning har bare blitt rapportert om 30 sårbarheter i Foxit Reader i samme periode.
Men nå har det blitt funnet et par sårbarheter i Foxit Reader som kanskje kan få noen til å revurdere. Ikke fordi sårbarhetene er så utrolig oppsiktsvekkende, men fordi Foxit ikke har noen planer om å fjerne dem.
Fjernkjøring av vilkårlig kode
Det er TippingPoints Zero Day Initiativ (ZDI) som først skal ha varslet Foxit om sårbarhetene. Begge de to sårbarhetene skal åpner for fjernkjøring av vilkårlig kode, men avhenger av at brukeren lar seg lokke til for eksempel å åpne en ondsinnet PDF-dokument som utnytter en av sårbarhetene.
Den ene av sårbarhetene utnytter en feil i Foxit Readers håndtering av JavaScript-funksjonen saveAs, noe som skyldes manglende validering av inndata fra brukeren. Dette kan utnyttes til å opprette og skrive til vilkårlige filer på områder som angriperen kontrollerer, samt kjøre vilkårlig kode i konteksten til den aktuelle prosessen.
Den andre sårbarheten skyldes også manglende validering av inndata som brukes i forbindelse med kjøring av et systemkall. Også dette kan utnyttes til å kjøre kode i konteksten til den aktuelle prosessen.
Sikker modus
Foxit skal ha blitt varslet om sårbarheten den 18. mai, men skal i juli ha gitt ZDI beskjed om at sårbarhetene ikke vil bli fjernet fordi de ikke kan utnyttes i Secure Mode-modusen til Foxit Reader. Denne modusen kalles også Sikker lesemodus.
Foxit Reader kjøres i utgangspunktet med Secure Mode aktivert. Men i noen tilfeller kan dette hindre at alt innholdet i dokumentet vises. Det frarådes å deaktivere dette bortsett fra i forbindelse med visning av dokumenter som brukeren kan være helt sikker på at ikke kan inneholde skadelig kode.
Foxit opplyser at det finnes mer enn 475 millioner brukere av selskapets programvare. Hvor mange av disse som bruker gratisproduktet Reader, er ukjent. Men andelen er trolig høy.
Oppdatert: Foxit har på et tidspunkt etter publiseringen av sikkerhetsvarslene fra ZDI kunngjort at sårbarhetene likevel skal fjernes. I en uttalelse til The Hacker News beklager selskapet at det har feilkommunisering angående dette.
Les også: 20 år med PDF