Parece hay bastante malestar de muchos de los usuarios de este lector PDF gratuito debido a una vulnerabilidad que permite ejecutar codigo malicioso en javascript.
Hace años que no lo uso, pero quienes esten por usar o ya lo tengan en su plantilla de programas, les aconsejo se informen mejor de en que consiste y cual es el riesgo real de tal vulnerabilidad.
Foxit PDF Reader is well and truly foxed up, but vendor won't patch We've got Safe Mode and that's safe enough, vendor tells ~400m users By Richard Chirgwin 2
Updated The Zero Day Initiative (ZDI) has gone public with a Foxit PDF Reader vulnerability without a fix, because the vendor resisted patching.
The ZDI made the decision last week that the two vulns, CVE-2017-10951 and CVE-2017-10952, warranted release so at least some of Foxit's 400 million users could protect themselves.
In both cases, the only chance at mitigation is to use the software's "Secure Mode" when opening files, something that users might skip in normal circumstances.
CVE-2017-10951 allows the the app.launchURL method to execute a system call from a user-supplied string, with insufficient validation.
CVE-2017-10952 means the saveAs JavaScript function doesn't validate what the user supplies, letting an attacker write "arbitrary files into attacker controlled locations."
Both are restricted to execution with the user's rights. No fix
ZDI went public after its usual 120-day cycle because the authors made it clear no fix was coming, with this response:
"Foxit Reader & PhantomPDF has a Safe Reading Mode which is enabled by default to control the running of JavaScript, which can effectively guard against potential vulnerabilities from unauthorized JavaScript actions."
Foxit Software appears to be content to suggest users run its wares in Safe Mode, as its security advisories home page offers that advice for bugs identified in 2011.
Gracias por la información @TRASTARO Parece que desde Foxit algo se está haciendo: https://www.foxitsoftware.com/support/s ... letins.php también comentan que pretenden sacar parche el 25 de agosto. Aún así, en los hilos más recientes de EOL se han recomendado otros lectores de PDFs; tal vez, Foxit no sea lo que era en el pasado.
coyote escribió:Foxit se ha convertido en un monstruo pero si conocéis otra cosa que no sea el de Adobe que permita rellenar formularios, quisiera saberlo.
Cierto, antes era un programa muy ligero, ahora todo lo contrario.
La verdad, creo que por lo que leo, "no me afecta". Está relacionado con JavaScript y no habilito JavaScript en los lectores PDF ni pagándome desde hace años que empezaron a aparecer vulnerabilidades, día sí, día también, con Adobe, hace ya cosa de una década, más o menos.
Supongo que deshabilitando JavaScript dejan de ser funcionales los autocompletados de formularios o lo que sea (ni idea de para qué se usa JS en PDF en la práctica). La verdad es que yo uso Foxit para leer, leer y leer. Pocos formularios he rellenado yo, pero yo creo que siguen siendo usables.
