Foxit Reader List Box Calculate Array Use-After-Free Vulnerability
Mis à jour :
Vulnérabilité critique “Use-After-Free” dans Foxit PDF Reader
Une vulnérabilité de type Use-After-Free (utilisation après libération) a été identifiée dans la gestion des objets de type Array au sein de Foxit PDF Reader, liée à l’implémentation du moteur JavaScript V8.
Points clés :
- Mécanisme : L’exécution d’un script JavaScript malveillant, inclus dans un document PDF, peut manipuler le cycle de vie des objets. L’appel à la fonction
deletePages()libère les objets associés à une page, mais une référence vers un objet Array peut persister et être utilisée sans validation préalable. - Impact : L’exploitation de cette faille provoque une corruption mémoire, pouvant mener à une exécution de code arbitraire sur le système de la victime.
- Vecteur d’attaque : Nécessite une interaction utilisateur (ouverture d’un fichier PDF malveillant).
Détails techniques :
- CWE : CWE-416 (Use After Free)
- CVSSv3 : 7.8 (Élevé)
- Version vulnérable confirmée : Foxit Reader 2025.3.0.35737
Recommandations :
- Mise à jour : Appliquer immédiatement les correctifs fournis par l’éditeur (publiés le 31 mars 2026).
- Bonnes pratiques : Ne pas ouvrir de documents PDF provenant de sources non fiables ou suspectes.
- Restriction : Désactiver le support JavaScript dans les paramètres du lecteur PDF si cette fonctionnalité n’est pas nécessaire à l’usage quotidien.