PDF를 통한 악성코드 실행 허용하는 Foxit Reader 취약점 수정

 

 

Foxit Reader bug lets attackers run malicious code via PDFs

 

Foxit Reader의 제작사인 Foxit 소프트웨어가 해당 PDF 리더 프로그램에 존재하는 원격 코드 실행(RCE) 취약점을 수정하는 보안 업데이트를 공개했습니다.

 

이 취약점을 악용하는 공격자는 사용자의 윈도우 컴퓨터에서 악성코드를 실행할 수 있어 잠재적으로 제어권을 탈취할 수 있게 됩니다.

 

Foxit은 전 세계 200개 국가의 사용자 6억 5천만 명을 보유하고 있으며, 현재 10만 명 이상의 고객이 해당 소프트웨어를 사용하고 있다고 주장했습니다.

 

또한 이 회사의 기업 고객은 Google, Intel, NASDAQ, Chevron, British Airways, Dell, HP, Lenovo, Asus 등 여러 유명 기술 회사를 포함하고 있었습니다.

 

Use-after-free 취약점, 사용자를 RCE 공격에 노출시켜

 

CVE-2021-21822로 등록된 이 심각도 높은 취약점은 Foxit Reader가 동적 양식 및 대화형 문서 요소를 표시하는데 사용하는 V8 JavaScript 엔진에서 발견된 use-after-free 취약점으로 인해 발생합니다.

 

이 use-after-free 취약점을 성공적으로 악용할 경우 프로그램 충돌 및 데이터 손상, 취약한 소프트웨어를 실행하는 컴퓨터에서의 임의 코드 실행 등 예기치 않은 결과가 발생할 수 있습니다.

 

이 보안 취약점은 Foxit Reader 애플리케이션 및 브라우저 확장 프로그램이 특정 주석 유형을 처리하는 방식에서 발생하며, 공격자는 정확한 메모리 제어를 통해 임의 코드를 실행하는 악성 PDF 파일을 생성할 수 있습니다.

 

Cisco Talos측은 아래와 같이 설명했습니다.

 

“특수 제작된 PDF 문서를 통해 이전에 할당 해제된 메모리를 재사용할 수 있어 임의 코드 실행으로 이어질 수 있습니다. 공격자는 이 취약점을 악용하기 위해 브라우저 플러그인 확장이 활성화되었을 경우 사용자가 악성 파일이나 사이트를 실행하도록 유도해야 합니다.”

 

이 취약점은 Foxit Reader 10.1.3.37598 및 이전 버전에 영향을 미치며, Foxit Reader 10.1.4.37651 버전을 공개하여 수정되었습니다.

 

CVE-2021-21822 취약점을 악용한 공격을 예방하기 위해서는 Fox Reader의 최신 버전을 다운로드 후 “도움말”에서 “업데이트 확인”을 클릭해야 합니다.

 

Fox Reader 10.1.4, 더 많은 취약점 수정해

 

Foxit은 이전 Foxit Reader 버전에 영향을 미치는 사용자의 기기를 DoS, 원격 코드 실행, 정보 공개, SQL 인젝션, DLL 하이재킹 등의 공격에 노출시키는 다른 취약점 또한 수정했습니다.

 

Foxit Reader 10.1.4의 보안 수정 사항 전체 목록은 여기에서 확인하실 수 있습니다.

 

2년 전, Foxit은 승인되지 않은 제 3자가 ‘My Account’ 서비스 사용자 328,549명의 개인정보에 무단으로 접근했던 데이터 유출 사고를 겪었다고 밝힌 바 있습니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/foxit-reader-bug-lets-attackers-run-malicious-code-via-pdfs/

https://talosintelligence.com/vulnerability_reports/TALOS-2021-1287

https://www.foxitsoftware.com/support/security-bulletins.html