今回の脆弱性は、Cisco Talos の Aleksandar Nikolic によって発見されました。
Cisco Talos は、Foxit Reader に任意のコード実行につながる可能性のある解放済みメモリ使用(use-after-free)の脆弱性を複数発見しました。
Foxit Reader は人気の高い PDF ドキュメントリーダーです。Adobe Acrobat Reader と同等の機能を備えることを目指して開発されています。充実した機能を備えた完全な PDF リーダーであり、JavaScript を使用したインタラクティブ ドキュメントやダイナミックフォームをサポートしています。JavaScript のサポートにより、アタックサーフェス(攻撃対象領域)が拡大しています。
Talos は、Foxit Reader に存在する解放済みメモリ使用の脆弱性を 4 件特定しました。Foxit Reader は JavaScript をサポートしているため、動的なドキュメントやマルチメディアコンテンツをインタラクティブに表示できます。細工された PDF ドキュメントによって解放済みメモリが再利用され、任意のコードが実行される恐れがあります。攻撃者がこの脆弱性を悪用するには、ユーザーに悪意のあるファイルを開かせる必要があります。
TALOS-2022-1600
(CVE-2022-32774)
TALOS-2022-1601 (CVE-2022-38097)
TALOS-2022-1602 (CVE-2022-37332)
TALOS-2022-1614 (CVE-2022-40129)
Cisco Talos はシスコの脆弱性開示方針に準拠して Foxit 社と協力し、今回の脆弱性が解決されたこと、および影響を受けた利用者向けにアップデートが提供されていることを確認しています。
影響を受ける製品(Foxit Reader バージョン 12.0.1.12430)をお使いであれば、できるだけ早く更新することをお勧めします。Talos では、このバージョンのリーダーが今回の脆弱性によってエクスプロイトされる可能性があることをテストして確認済みです。
脆弱性のエクスプロイトは Snort ルール(60594 ~ 60595、60604 ~ 60605、60592 ~ 60593、60619 ~ 60620)で検出できます。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center または Snort.org を参照してください。
本稿は 2022 年 11 月 10 日に Talos Group
Authors