Un correctif de gravité critique a été publié par Foxit Software pour remédier à une vulnérabilité risquée d'exécution de code à distance dans ses principaux produits PDF Reader et PDF Editor.

Selon un avis de la société, la vulnérabilité, qui a été découverte et signalée par des chercheurs de l'Université Renmin de Chine, pourrait être exploitée via des fichiers PDF truqués de pages Web.

Foxit, qui offre une solution alternative aux outils de procession PDF omniprésents d'Adobe, a déclaré que la vulnérabilité est contenue à la plate-forme Windows et affecte Foxit PDF Reader 12.0.2.12465 et antérieur, et Foxit PhantomPDF - 10.1.7.37777 et antérieur.

La faiblesse de Foxit, selon HackSys Inc, une entreprise qui l'a découverte de manière indépendante, pourrait être utilisée contre une cible si elle est amenée à visiter un faux site Web ou à ouvrir un fichier malveillant.

"La faille spécifique existe dans le traitement des objets Doc. Le problème résulte de l'absence de validation de l'existence d'un objet avant d'effectuer des opérations sur cet objet. Un attaquant peut tirer parti de cette vulnérabilité pour exécuter du code dans le contexte du processus en cours", indique HackSys dans un avis.

Auparavant, Foxit a dû faire face à des problèmes d'exécution de code dans ses outils de traitement des PDF ainsi qu'à une violation de données qui a touché plus de 300 000 utilisateurs.

Selon Foxit, cette faille qui ne contient pas d’identifiant CVE est due à une écriture hors limites et à un crash lors de l'ouverture de certains PDF contenant des JavaScripts avec trop de texte spécifié dans certains contrôles, ce qui pourrait être exploité par des attaquants pour exécuter du code arbitraire.