Secunia ostrzega przed poważną luką w Foxit Readerze, popularnej alternatywie wobec Acrobat Readera. Dziura pozwala na wstrzyknięcie i wykonanie szkodliwego kodu za pomocą plików .pdf.

Problem leży w nieprawidłowym przetwarzaniu plików .pdf z zagnieżdżonym JavaScriptem. Podczas przetwarzania łańcuchów formatujących zawierających liczbę zmiennoprzecinkową może dojść do błędu przepełnienia bufora w funkcji util.printf(), co umożliwia wprowadzenie i wykonanie szkodliwego kodu.

Błąd znajduje się w Foxit Readerze 2.3 build 2825 oraz wcześniejszych. Zostanie on naprawiony w przygotowywanej do publikacji wersji 2.3 build 2912.

Niebezpieczna edycja Foxit Readera wciąż jest dostępna na serwerach producenta oprogramowania.