Foxit Reader 9.3出炉，一举修补上百个安全漏洞

Foxit Software于上周释出了Foxit Reader 9.3，修补超过100个安全漏洞，当中不乏可导致远端程式攻击的重大漏洞，而光是Cisco Talos研究人员就找出了18个漏洞。

Foxit Reader属于免费增值（freemium）软件，提供免费的基本功能与付费的进阶功能，它可用来建立、检视、编辑或打印PDF档案，被视为是全球前十大最好用的PDF Reader之一，经常被用来取代Adobe Acrobat Reader。

找到Foxit Reader的18个安全漏洞的是Cisco Talos安全研究人员Aleksandar Nikolic，当中有7个漏洞为藏匿在JavaScript引擎的释放后使用（use-after-free）漏洞，成功的开采将导致远端程式攻击。

Nikolic解释，作为一个功能丰富的PDF Reader，Foxit支援JavaScript以提供互动文件及动态格式功能，当执行嵌入的JavaScript程式时，文件可被关闭，并释出许多用过的物件，然而该JavaScript却会继续执行，可能造成释放后使用的状况。

此外，它有许多攻击途径，例如诱导使用者开启一个恶意的PDF档，或是使用者在浏览器上安装了Foxit扩充程式，并浏览了恶意文件，都可能触发相关漏洞。

另外也有不少漏洞属于越界读取资讯揭露（Out-of-Bounds Read information Disclosure）漏洞。

族繁不及备载的漏洞数量让AI安全业者Vectra的安全分析主管Chris Morales在接受SCMedia访问时指出，软件原本就是复杂的，这些漏洞型态也是常见的，令他感到惊讶的是漏洞数量的庞大。

Morales认为，这样的结果也许源自于Foxit Software工程师未能适当地检验软件的程式码，或者是资安研究人员利用机器学习技术来自动分析程式码，才能一次找出这么多漏洞，不管是哪一项，业者都应该更认真地展开即时的威胁侦测并快速回应以降低漏洞所带来的风险。