Zero Day Initiative (ZDI), yaptığı bir açıklamada Foxit PDF Reader'ın bir güvenlik açığını inatla kapatmadığını söyledi.
ZDI, geçen hafta verdiği kararla yazılım üzerinde bulunan CVE-2017-10951 ve CVE-2017-10952 açıklarını yayınlamaya ve Foxit'in 400 milyon kullanıcısını bilgilendirmeye karar verdi. Her iki açıktan korunmak için yazılımdaki "Güvenli Mod"u kullanmak gerekiyor. İddiaya göre kullanıcılar, normal şartlarda bu modu kullanmayabiliyorlar.
CVE-2017-10951 açığı, app.launchURL metodunun kullanıcının sağladığı bir dizi üzerinden sistem çağrısı yapmasına izin veriyor. CVE-2017-10952 ise saveAs JavaScript fonksiyonunun kullanıcının yazdıklarını doğrulamadığı, saldırganın "saldırgan kontrollü konumlara keyfi dosyalar yazabileceği" anlamına geliyor.
Her iki açık da kullanıcı izinleriyle kısıtlı işlemler yapabiliyor. ZDI'nın 120 günlük sürenin ardından açığı duyurmasının nedeni ise, geliştiricilerden gelen şu cevap oldu:
"Foxit Reader ve PhantomPDF, JavaScript kodunu kontrol altına alan Güvenli Okuma Modu ile gelmektedir. Bu mod, yetkisiz JavaScript eylemlerine karşı etkili bir koruma sağlamaktadır."
Firma, 2016'da bir düzine bug'ı onarmıştı.