Foxit Software отказалась ликвидировать уязвимости нулевого дня в своих продуктах

Исследователи проекта Zero Day Initiative (ZDI) приняли решение обнародовать информацию о двух уязвимостях нулевого дня, выявленных ими в популярном ПО Foxit PDF Reader (компания Foxit Software). Уязвимости, которым присвоены идентификаторы CVE-2017-10951 и CVE-2017-10952, потенциально позволяют атакующим исполнять произвольный код и загружать на устройства файлы, в том числе и вредоносные.

Специалисты Zero Day Initiative пошли на этот шаг после того, как истек срок, отведенный проектом разработчикам для исправления уязвимостей. Срок этот, к слову, является весьма продолжительным и составляет 120 дней. Но их оказалось недостаточно для устранения проблем. Более того, компания Foxit Software ясно дала понять, что вообще не намерена устранять уязвимости нулевого дня в своем ПО. В ее заявлении сказано, что в Foxit PDF Reader по умолчанию включена опция безопасного просмотра документов, а эксплуатация уязвимостей возможна только при ее отключении. Однако такая позиция выглядит несколько странной, особенно с учетом того, что число пользователей Foxit PDF Reader составляет порядка 400 миллионов человек.