◆概要
2022 年 6 月に修正された、Foxit Software 社の製品で遠隔コード実行が可能となる脆弱性のエクスプロイトコードが報告されています。攻撃者が作成した悪意のある JavaScript が埋め込まれた PDF ファイルを実行してしまった場合に、攻撃者に意図しないコードを実行されてしまう可能性があります。ソフトウェアのアップデートにより対策してください。
◆分析者コメント
当該脆弱性は、脆弱性の性質により、脆弱性の悪用から遠隔コード実行を成功させるエクスプロイトコードの構築が OS とソフトウェアの両方のバージョンに依存するため、現実に悪用するのは難しいと考えられます。高度な技術を持つ攻撃者に備えて、脆弱性に対策されたバージョンへのアップデートを推奨します。
◆深刻度(CVSS)
[CVSS v3.1]
7.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2022-28672&vector=AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H&version=3.1&source=NIST
◆影響を受けるソフトウェア
以下のバージョンの Foxit Software 社の製品が、当該脆弱性の影響を受けると報告されています。
* Foxit PDF Reader - バージョン 11.2.1.53537 およびそれよりも古い
バージョン
* Foxit PDF Editor - バージョン 11 系のうち 11.2.1.53537 とそれよ
りも古いバージョン、バージョン 10.1.7.37777 とそれよりも古いバー
ジョン
* Foxit PhantomPDF - バージョン 10.1.7.37777 およびそれよりも古い
バージョン
----------------------------------------------------------------------
◆解説
Foxit Software 社の PDF 関連のソフトウェアに、メモリ処理の不備に起因する、遠隔コード実行につながる脆弱性が報告されています。
脆弱性は Foxit Software 社の PDF 関連のソフトウェアにおける JavaScript エンジンでのメモリ管理不備に起因するものです。脆弱なソフトウェアでは、削除されたオブジェクトの処理に不備があるため、削除済みのオブジェクトが使用したメモリの再利用が可能です。脆弱性の悪用により、削除されたオブジェクトが配置されていたメモリ領域に、攻撃者のペイロードを配置した状態で削除済みオブジェクトを再利用して、任意のシェルコードの実行が可能となります。
◆対策
ソフトウェアを脆弱性に対策された最新版のバージョンにアップデートしてください。
◆関連情報
[1] Foxit Software 社公式
https://www.foxit.com/support/security-bulletins.html
[2] Zero Day Initiative
https://www.zerodayinitiative.com/advisories/ZDI-22-763/
[3] National Vulnerability Database (NDV)
https://nvd.nist.gov/vuln/detail/CVE-2022-28672
[4] CVE MITRE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28672
----------------------------------------------------------------------
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して Calculator.app の実行を試
みるエクスプロイトコードが公開されています。
GitHub - hacksysteam/CVE-2022-28672
https://github.com/hacksysteam/CVE-2022-28672
//-- で始まる行は筆者コメントです。
2022 年 6 月に修正された、Foxit Software 社の製品で遠隔コード実行が可能となる脆弱性のエクスプロイトコードが報告されています。攻撃者が作成した悪意のある JavaScript が埋め込まれた PDF ファイルを実行してしまった場合に、攻撃者に意図しないコードを実行されてしまう可能性があります。ソフトウェアのアップデートにより対策してください。
◆分析者コメント
当該脆弱性は、脆弱性の性質により、脆弱性の悪用から遠隔コード実行を成功させるエクスプロイトコードの構築が OS とソフトウェアの両方のバージョンに依存するため、現実に悪用するのは難しいと考えられます。高度な技術を持つ攻撃者に備えて、脆弱性に対策されたバージョンへのアップデートを推奨します。
◆深刻度(CVSS)
[CVSS v3.1]
7.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2022-28672&vector=AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H&version=3.1&source=NIST
◆影響を受けるソフトウェア
以下のバージョンの Foxit Software 社の製品が、当該脆弱性の影響を受けると報告されています。
* Foxit PDF Reader - バージョン 11.2.1.53537 およびそれよりも古い
バージョン
* Foxit PDF Editor - バージョン 11 系のうち 11.2.1.53537 とそれよ
りも古いバージョン、バージョン 10.1.7.37777 とそれよりも古いバー
ジョン
* Foxit PhantomPDF - バージョン 10.1.7.37777 およびそれよりも古い
バージョン
----------------------------------------------------------------------
◆解説
Foxit Software 社の PDF 関連のソフトウェアに、メモリ処理の不備に起因する、遠隔コード実行につながる脆弱性が報告されています。
脆弱性は Foxit Software 社の PDF 関連のソフトウェアにおける JavaScript エンジンでのメモリ管理不備に起因するものです。脆弱なソフトウェアでは、削除されたオブジェクトの処理に不備があるため、削除済みのオブジェクトが使用したメモリの再利用が可能です。脆弱性の悪用により、削除されたオブジェクトが配置されていたメモリ領域に、攻撃者のペイロードを配置した状態で削除済みオブジェクトを再利用して、任意のシェルコードの実行が可能となります。
◆対策
ソフトウェアを脆弱性に対策された最新版のバージョンにアップデートしてください。
◆関連情報
[1] Foxit Software 社公式
https://www.foxit.com/support/security-bulletins.html
[2] Zero Day Initiative
https://www.zerodayinitiative.com/advisories/ZDI-22-763/
[3] National Vulnerability Database (NDV)
https://nvd.nist.gov/vuln/detail/CVE-2022-28672
[4] CVE MITRE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28672
----------------------------------------------------------------------
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して Calculator.app の実行を試
みるエクスプロイトコードが公開されています。
GitHub - hacksysteam/CVE-2022-28672
https://github.com/hacksysteam/CVE-2022-28672
//-- で始まる行は筆者コメントです。
