Multiples vulnérabilités dans Foxit Reader et PhantomPDF

Foxit Software a publié le 16 janvier 2020 plusieurs correctifs de sécurité pour ses produits Foxit Reader et Foxit PhantomPDF. Les vulnérabilités liées à ces correctifs peuvent permettre à un attaquant de provoquer  une exécution de code arbitraire à distance, une atteinte à l’intégrité des données et une atteinte à la confidentialité des données.

CVE-2019-5126 [Score CVSS v3 : 8.8], CVE-2019-5130 [Score CVSS v3 : 8.0], CVE-2019-5131 [Score CVSS v3 : 8.8], CVE-2019-5145 [Score CVSS v3 : 8.8] : Une vulnérabilité de type « Use After Free » a été découverte dans les moteurs JavaScript de Foxit PDF Reader et Foxit PhantomPDF. Cette vulnérabilité peut permettre à un attaquant distant, via un fichier PDF corrompu, d’exécuter du code arbitraire. Pour cela, l’attaquant doit réussir à inciter un utilisateur à ouvrir un fichier PDF corrompu.

Une vulnérabilité « Use After Free » est due à des erreurs de programmation et se produit lorsqu’un programme accède à une zone mémoire après qu’elle ait été libérée.

Informations
+

Risques

  • Exécution de code arbitraire à distance
  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Élévation de privilèges

Criticité

  • Score CVSS v3 : 8.8 au maximum

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible actuellement

Composants vulnérables

  • Foxit Reader versions antérieures à 9.7.1
  • Foxit PhantomPDF versions antérieures à 9.7.1

CVE

  • CVE-2019-5126
  • CVE-2019-5130
  • CVE-2019-5131
  • CVE-2019-5145

Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Foxit Reader et / ou Foxit PhantomPDF vers la version 9.7.1

Solution de contournement

  • Il est possible de limiter les conséquences d’une attaque en limitant le plus possible les privilèges utilisateurs