Vulnérabilités dans Foxit Reader

Numéro : AL17-010
Date : Le 18 août 2017

Objet

La présente alerte a pour but d’attirer l’attention sur deux vulnérabilités de type « zero-day » dans Foxit Reader.

Évaluation

Par le biais d’information en provenance de sources ouvertes, le CCRIC a appris la divulgation récente de deux vulnérabilités  de type « zero-day » dans le programme Foxit Reader qui, lorsqu’elles sont exploitées via l’API JavaScript dans Foxit Reader, pourraient permettre à un attaquant à distance d’exécuter du code aléatoire sur des installations vulnérables de Foxit Reader. Par contre, une interaction avec l’utilisateur est nécessaire pour exploiter les deux vulnérabilités car la cible doit visiter une page malicieuse ou ouvrir un fichier malicieux.

Foxit Reader est un lecteur PDF gratuit et populaire qui est distribué par de nombreux sites web. De plus, il existe des extensions de Foxit Reader pour des programmes de Microsoft Office telles que Word, Excel et PowerPoint.

Selon la firme de sécurité qui a découvert les vulnérabilités, le vendeur a décidé de ne pas corriger les vulnérabilités car un attaquant aurait d’abord besoin de contourner la lecture en mode sécuritaire.  Par contre, ceci expose l’utilisateur à des vulnérabilités à fort impact, supposant que des attaquants pourraient trouver un chemin pour contourner la lecture en mode sécuritaire.

Mesures Recommandées

Étant donné les risques que présentent ces vulnérabilités, le CCRIC recommande que les administrateurs limitent ou restreignent t les interactions avec Foxit Reader et/ou assurent que l’option lecture en mode sécuritaire soit activée en tout temps.

Références :

https://www.zerodayinitiative.com/blog/2017/8/17/busting-myths-in-foxit-reader (en anglais)
http://www.zerodayinitiative.com/advisories/ZDI-17-691/  (en anglais)
http://www.zerodayinitiative.com/advisories/ZDI-17-692/  (en anglais)

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :