Foxit 日本語版がいつまでも更新されないので脆弱性の実証実験してみた

“Moderately critical”の脆弱性を修正した「Foxit Reader」v6.1.4が公開 - 窓の杜
いつまでたっても、 v6.0 から更新されない日本語版の Foxit Reader
窓の杜では影響を受けるかもしれないという甘いことが書いてるので、実際の該当するコードがあるか調べてみました。
fx2
その結果、 v6.0 でも \plugins\imgseg\x86\imgseg.dll を読み込もうとする処理があることが判明。
アウト!

Foxit Security Bulletins - Foxit Software
次は、本家サイトでFoxit Reader 6.2.1 で修正された脆弱性。
w00tsec: Foxit PDF Reader Stored XSS
実証コードがあるのでやってみた。

fx1

おー、開いた途端 リモートのJavaScript が実行された!
これもアウトだよ!

セキュリティ情報 | FoxitJapan, Inc. | PDF Converter PDF Editor Edit and Convert html, Word files to PDF

 Foxitではセキュリティの問題を重要視しており、製品に関連したセキュリティ問題については迅速な対応を行っております。お客様に最高のサービスを提供するためにも、潜在的なセキュリティの脆弱性を発見された場合は、どうぞ FoxitJapan までご連絡くださいますようお願いします :
お問い合わせフォーム

Foxitのセキュリティに関するお知らせはこちら。(英文)

どこが迅速やねん・ω・!
英語圏では迅速だけど、日本版チームはそれを翻訳して公開してるだけで、迅速ではない!

FoxitJapan, Inc. | PDF Converter PDF Editor Edit and Convert html, Word files to PDF

WEBサイトをリニューアルしました 2014.8.6

サイト更新するよりやることあるんじゃね・ω・?

2015/1 Version 7がやっとでるそうです…でも、今後ちゃんとセキュリティアップデートするんだろうか?

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です