COSIG-2016-02

COSIG-2016-02

#####################################################################################

# Application: Foxit Reader
# Versions: 7.2.8.1124 et précédentes
# Plateforme: Windows
# Auteur: Francis Provencher du COSIG
# Site Web: https://cosig.gouv.qc.ca/avis/
# Twitter: @COSIG_
# Date: 21 janvier 2016
# COSIG-2016-02

#####################################################################################

1) Introduction
2) Rapport de Coordination
3) Détails techniques
4) Preuve de concept

#####################################################################################

===============
1) Introduction
===============

Foxit Reader est un logiciel créé par Foxit Software, une entreprise basée dans la Silicon Valley, en Californie,
aux États-Unis et disponible gratuitement, permettant de lire les fichiers PDF sur Microsoft Windows 32 bit
(ainsi qu’en émulation 32 bits sous Windows 64 bits) et d’autres systèmes d’exploitation comme Linux
(ou comme application portable sur le système U3 pour clé USB, désormais abandonné). Son temps de lancement et
sa taille sont réduits, comparés à ceux d’Adobe Reader (anciennement Adobe Acrobat). Il tourne sur tous les
systèmes Windows (Win95 à Win10).

(https://fr.wikipedia.org/wiki/Foxit_Reader)

#####################################################################################

============================
2) Rapport de Coordination
============================

2015-12-18: Francis Provencher du COSIG rapporte cette vulnérabilité a l’équipe de Sécurité de Foxit Reader;
2016-01-02: L’équipe de sécurité de Foxit Reader confirme cette vulnérabilité;
2016-01-21: Foxit publie un correctif;

#####################################################################################

============================
3) Détails techniques
============================

La vulnérabilité permet à un attaquant distant d’exécuter du code malicieux à l’aide de l’interaction d’un utilisateur
qui visite une page web ou qui ouvre un fichier spécialement conçu. Ce fichier contient une image malformée et qui permet de
déréférencée un pointeur.

#####################################################################################

=====================
4) Preuve de concept
=====================

COSIG-2016-02

#####################################################################################