パスワードを忘れた? アカウント作成
13389347 story
バグ

Foxit Readerに修正予定のない2件の脆弱性 17

ストーリー by hylom
PDFの問題化と思ったらJSの問題だった 部門より
headless曰く、

Windows用PDFリーダー「Foxit Reader日本語版)」の未修正脆弱性2件をZero Day Initiativeが公表した(ZDI-17-691/CVE-2017-10951ZDI-17-692/CVE-2017-10952RegisterAusCERT — ESB-2017.2088)。

CVE-2017-10951の問題はapp.launchURLメソッドに存在し、システムコールを実行する前にユーザーが与えるデータを適切に確認しないというもの。CVE-2017-10952の問題はJavaScriptで書かれたsaveAs関数に存在し、ユーザーが与えるデータに対する適切な確認が行われないため、攻撃者の制御下にある場所に任意のファイルを保存できるというものだ。2件とも攻撃用のWebページまたはドキュメントをターゲットに開かせることで、リモートの攻撃者は現在のプロセスのコンテキストで任意コード実行が可能になる。

Zero Day InitiativeではCVE-2017-10951を5月18日、CVE-2017-10952を6月22日にFoxitへ通知している。しかし、何度かのやり取りののち、Foxit側がFoxit Readerのデフォルトで有効になっている「保護モード」により緩和できるため修正は行わないとの考えを示したという。そのため、Zero Day Initiativeは通常の公表期限である120日を待たず、ゼロデイ脆弱性として公表に踏み切ったようだ。

なお、Foxit Readerの保護モードはセットアップ時にオプションとして提示され、デフォルトでオンになっている。セットアップ後は「ファイル」メニューから「環境設定」を開き、「トラストマネージャー」で設定を変更できる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by jizou (5538) on 2017年08月25日 8時49分 (#3267193) 日記

    Firefoxなど、ブラウザで普通に見られますし、
    それ以上の操作が必要なら Acrobat 使うので、もういらない子ですね....

    そもそも、Acrobat Reader 以外使ったことがない。

    • by Anonymous Coward

      同意
      セキュリティ考えるならアップデートの早さは重要なので
      Google Chrome Beta 64bit [google.com]という選択肢もあり

      • by Anonymous Coward

        ChromeのPDFエンジン(PDFium)はFoxitの派生だぞ。

        Operaがpdf.jsの採用を検討しだしたとたんにGoogleがFoxitから買い取ってOSS化したのには思わず笑った

    • by Anonymous Coward

      会社の個人マシンがポンコツだったころ使ってたなぁ
      軽いのはいいんだけど起動するとグラフィックドライバかなんかと喧嘩するのか一瞬画面が点滅したりしてた
      Win10の今は特に何もせず初期関連付けされてたMicrosoft Edgeで特に不満もなく
      // まあPDFなんて月1回開くかどうかレベルなんだけど

    • by Anonymous Coward

      PDFを見るだけならね
      無料ソフトだけで編集するには貴重な存在

      CubePDF 出力時に先頭・末尾に結合
      PDF24  抽出・回転・並替等のページ操作
      Foxit  注釈・しおりを追加

  • by Anonymous Coward on 2017年08月25日 7時52分 (#3267174)

    SumatraPDFでいいだろもう
    かなり大きいPDFでも一瞬で表示されるし、軽さを求めるならデフォルトをSumatraPDFにしといて
    じっくり読みたいものや、フォントがおかしくなるようなのだけ右クリックからPDF-XChange Editorで開けばよし
    Foxitは消えていい

    #3.0J時代から長らくAcrobat Proの正規ユーザだったけど、PDFの作成や編集ひとつ取ってもXChangeの方が気が利いてるんで、本家Acrobatは11で切り捨てしたなぁ
    #自炊全盛時代に隠しテキスト埋め込む必要が無かったらもっと速く切り捨てしていたように思う
    #Acrobatは表示が遅すぎ。NAS経由で読んだりすると痛感する

  • by Anonymous Coward on 2017年08月25日 8時32分 (#3267184)

    SumatraPDF

    • by Anonymous Coward

      これ数年間使ってます。シンプルかつ高速起動。未だにAdobe薦める人にこれを勧めてます。

  • by Anonymous Coward on 2017年08月25日 8時35分 (#3267185)

    以前はadobe readerを入れてたな

  • by Anonymous Coward on 2017年08月25日 11時29分 (#3267321)

    Foxit入れてるが普段はfirefoxでのインライン表示で済ませていて、よほど大きいものは保存した上でAcrobat使用。
    今回の記事受けて久々にFoxit起動してみたら更新が出てた。
    8.3.0.14878から8.3.1.21155への更新で、サイズが52.20MBある。
    肥大化したねぇ。
    SumatraPDFというのをここで教えてもらったので乗り換えようっと。

    • by Anonymous Coward

      > インライン表示
      そんなこと出来るの?

  • by Anonymous Coward on 2017年08月25日 11時46分 (#3267339)

    Foxit使っていましたが、このトピみてSumatraPDFに乗り換えました。
    ありがとう >紹介してくれた人

    ついでですが、書き出し(仮想プリンタドライバタイプ)にはみなさん何使ってますか?
    いまは(惰性で)PrimoPDF使っていますが他にいいものがあれば教えてください

    • by Anonymous Coward

      windows10なら標準で仮想プリンタ入ってますね
      wordも2016なら標準でPDF出力機能(しおり対応)付いてます

      • by Anonymous Coward

        Adobe以外なら、むしろそいつで出力してくださいお願いします、と言う感じw

        バイナリーモードで開いて調査するのはもうイヤじゃw

      • by Anonymous Coward

        毎回出力先フォルダを指定し直さなきゃいけないのがめんどくさい。

    • by Anonymous Coward

      Bullzip PDF Printer

      Primoの広告(※)に辟易して乗り換えて以来ずっと使ってる。
      ※最近はマシとも聞くが戻る気はない

      あとWordやExcelからの出力やWindows10のPDFプリンタはファイルサイズが大きくなりすぎで使う気にならない。
      今、適当なWord文書(12ページ画像あり)で試してみたら以下の結果になりました。
        Bullzip→270KB
        Word→577KB
        Win10→931KB

    • by Anonymous Coward

      惰性でCubePDF使ってます。CAD出力用途で、ですが。

typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...