728x90
개요
보안업체(TrendMicro), 무료 PDF 파일 뷰어에서 2개 제로데이 취약점을 발견
주요내용
TrendMicro 와 Ariele Caltabiano는 발견한 폭스잇 리더 프로그램(Foxit Reader, PhantomPDF)에 2개의 제로데이 취약점이 존재한다고 발표
- 악의적으로 조작된 PDF 파일을 Foxit 사용자에게 열도록 유도함에 따라 공격에 악용
Foxit Reader 및 PhantomPDF 프로그램에 “Safe Reading Mode” 비 활성화시 Javascript API를 통해 실행 가능하며 취약점의 기능은 아래와 같음
- (CVE-2017-10951) 문자열 검증의 부재로 app.launchURL 함수 실행 가능 취약점
- (CVE-2017-10952) 대상 시스템의 어느 위치에든 임의의 파일을 쓸 수 있도록 허용하며 “saveAs” JavaScript 기능이 존재하는 취약점
Foxit Reader, PhantomPDF 프로그램 사용자는 “Safe Reading Mode” 활성화 여부 확인 필요
<그림1. Foxit PDF 파일 뷰어 프로그램 “Safe Reading Mode” 설정 화면 (출처:Foxisoftware)>
FoxieSoftware社는 “Safe Reading Mode” 설정을 통해 2개 취약점 실행이 불가능하며, 위 2개 취약점에 대해 보안패치를 진행하지 않겠다고 발표
시사점
Foxit社 무료 PDF 사용자는 프로그램 내 “Safe Reading Mode”, JavaSrcipt Action 기능 활성화 및 소프트웨어 최신 버전으로 업데이트 유지 등 사용자 주의 필요
[출처]
1. https://www.theregister.co.uk/2017/08/21/foxit_reader_vulnerabilities/
2. https://www.foxitsoftware.com/support/security-bulletins.php
728x90
'Security_News > 해외보안소식' 카테고리의 다른 글
| 美 회계감사원, 국방성의 IoT 보안정책 강화 필요성 강조 (0) | 2017.08.28 |
|---|---|
| 디도스 공격 2017년 2사분기 28% 증가 (0) | 2017.08.28 |
| 2017-08-25 보안뉴스 (0) | 2017.08.25 |
| iOS 커널 취약점 익스플로잇 출시 (0) | 2017.08.25 |
| 영국, 삼성TV 펌웨어 업데이트 후 장애소식 (0) | 2017.08.25 |
