Dos vulnerabilidades en Foxit PDF Reader & Foxit Editor para Mac

Especialistas en ciberseguridad reportan la detección de dos vulnerabilidades críticas en Foxit PDF Reader y Foxit Editor para Mac, un par de populares herramientas de lector PDF. Acorde al reporte, la explotación exitosa de las fallas reportadas permitiría el despliegue de diversos escenarios de ataque.

A continuación se presentan breves reportes de las fallas detectadas, además de sus respectivos puntajes asignados según el Common Vulnerability Scoring System (CVSS). Cabe señalar que estas fallas no han recibido clave de identificación CVE.

Sin clave CVE: Esta falla existe debido a una condición de límite al manejar el atributo de ancho de cierto widget XFA. Los actores de amenazas remotos pueden crear un archivo PDF especialmente diseñado que, al ser entregado a la víctima, desencadenará el error de lectura fuera de límites y permitirá a los hackers acceder al contenido en la memoria del sistema.

Esta es una falla de severidad media y recibió un puntaje CVSS de 3.7/10.

Sin clave CVE: Por otra parte, una condición de límite en el sistema afectado permitiría a los actores de amenazas remotos crear un archivo PDF especialmente diseñado para engañar a las víctimas y desencadenar un error de lectura fuera de límites.

La falla recibió un puntaje CVSS de 7.7/10 y su explotación exitosa habría permitido el compromiso total del sistema afectado.

Según el reporte, las fallas residen en los siguientes productos y versiones:  

  • Foxit PDF Editor para Mac: 11.0.1.0719, 11.0.1.0917, 11.1.0.0925
  • Foxit Reader para Mac: 11.0.0.0510, 11.0.1.0719, 11.1.0.0925

Si bien las vulnerabilidades pueden ser explotadas por actores de amenazas no autenticados, hasta el momento no se han detectado intentos de explotación activa. Aún así, se invita a los usuarios de implementaciones afectadas a instalar los parches de seguridad disponibles.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).