CVE-2025-66499

چکیده

آسیب‌پذیری در Foxit PDF Reader و Foxit PDF Editor ناشی از سرریز عدد صحیح (Integer Overflow) در پردازش داده‌های JBIG2 است که در نهایت منجر به سرریز بافر مبتنی بر هیپ (Heap-Based Buffer Overflow) می‌شود. مهاجم می‌تواند با ارسال یک فایل PDF مخرب حاوی داده‌های JBIG2 دستکاری‌شده و ترغیب کاربر به باز کردن آن، کد دلخواه را از راه دور در زمینه کاربر اجرا کند.

توضیحات

آسیب‌پذیری CVE-2025-66499 در موتور تجزیه (Parsing) فایل‌های PDF در Foxit PDF Reader و Foxit PDF Editor از نوع سرریز یا چرخش عدد صحیح (Integer Overflow or Wraparound) مطابق با CWE-190 است. این ضعف به‌طور مشخص در فرآیند پردازش داده‌های فشرده‌شده JBIG2 رخ می‌دهد. JBIG2 یک فرمت فشرده‌سازی تصویر باینری است که معمولاً برای کاهش حجم تصاویر اسکن‌شده و محتوای متنی در اسناد PDF مورد استفاده قرار می‌گیرد.

هنگام باز کردن یک فایل PDF حاوی داده‌های JBIG2 دستکاری‌شده، نرم‌افزار در محاسبه اندازه بافر تصویر دچار سرریز عدد صحیح می شود. در نتیجه، داده‌های ورودی کنترل‌شده توسط مهاجم بدون انجام اعتبارسنجی کافی در یک بافر با طول ثابت در حافظه هیپ کپی می‌شوند که این وضعیت منجر به سرریز بافر مبتنی بر هیپ می‌گردد. مهاجم می‌تواند با سوءاستفاده از این شرایط، جریان اجرای برنامه را دستکاری کرده، مکانیزم‌های حفاظتی حافظه را دور بزند و و در نهایت در صورت بازنویسی آدرس بازگشت/ کنترل در برنامه کد دلخواه خود را روی سیستم قربانی و در زمینه کاربر اجرا کند.

اگرچه این آسیب‌پذیری از نظر بردار حمله در دسته حملات لوکال (Local) قرار می‌گیرد، اما مفهوم لوکال در اینجا به این معناست که بهره‌برداری نیازمند باز شدن فایل مخرب روی سیستم قربانی است و مهاجم دسترسی شبکه‌ای مستقیم به برنامه ندارد. با این حال، کد مخرب از راه دور توسط مهاجم آماده و توزیع می‌شود و اجرای آن صرفاً با تعامل کاربر (باز کردن فایل PDF) انجام می‌گیرد. بنابراین، این ضعف عملاً امکان اجرای کد دلخواه کنترل‌شده توسط مهاجم از طریق فایل مخرب (Client-Side RCE) را فراهم می‌کند. سناریوهای رایج بهره‌برداری شامل ارسال فایل از طریق ایمیل‌های فیشینگ، انتشار در وب‌سایت‌های آلوده یا به‌اشتراک‌گذاری فایل در بسترهای مختلف است که در آن مهاجم صرفاً منتظر باز شدن فایل توسط کاربر می‌ماند. پیامدهای این آسیب‌پذیری شامل تأثیر بالا بر محرمانگی با افشای داده‌های حافظه، یکپارچگی با تغییر عملکرد برنامه و دسترس‌پذیری با کرش برنامه یا اختلال سیستم است. این ضعف با انتشار نسخه‌های امن جدید برای Windows و macOS به‌طور کامل پچ شده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Foxit را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در Foxit PDF Reader و Foxit PDF Editor امکان اجرای کد دلخواه را از طریق فایل‌های PDF مخرب حاوی JBIG2 فراهم می‌کند و در سناریوهای خاص می‌تواند منجر به نفوذ به سیستم کاربر شود. با توجه به انتشار پچ‌های امنیتی توسط Foxit، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• به‌روزرسانی فوری: کاربران باید در اسرع وقت Foxit PDF Reader را به نسخه 2025.3 و Foxit PDF Editor را به نسخه های 2025.3، 14.0.2 یا 13.2.2 به روزرسانی کنند. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• محدودسازی باز کردن فایل‌ها: از باز کردن فایل‌های PDF از منابع ناشناخته اجتناب کنید و سیاست‌های سازمانی برای بررسی فایل‌ها قبل از باز کردن اعمال نمایید.
• استفاده از حالت حفاظت شده: حالت حفاظت شده (Protected View / Safe Reading Mode) در Foxit را فعال کنید تا محتوای فعال مانند جاوااسکریپت یا تصاویر پیچیده محدود شود.
• نظارت و آنتی‌ویروس: از آنتی‌ویروس به‌روز و ابزارهای EDR برای شناسایی فایل‌های مخرب PDF استفاده کنید و لاگ‌های برنامه را برای کرش‌های مشکوک بررسی نمایید.
• ایزوله‌سازی: فایل‌های PDF را در محیط‌های ایزوله یا ماشین‌های مجازی باز کنید تا در صورت بهره‌برداری، دامنه اثر محدود شود.
• آموزش کاربران: کاربران را درباره ریسک‌های فایل‌های پیوست ایمیل یا فایل های دانلودشده آموزش دهید و بر اهمیت به‌روزرسانی نرم‌افزار تأکید کنید.
• تست امنیتی: فایل‌های PDF را با ابزارهایی مانند VirusTotal برای شناسایی محتوای مخرب بررسی کنید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع نسخه‌ها و آموزش کاربران، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت پردازش اسناد PDF در Foxit را به‌صورت قابل توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

دسترسی اولیه از طریق فایل PDF مخرب انجام می‌شود که به‌صورت هدفمند برای قربانی ارسال یا توزیع می‌گردد (ایمیل فیشینگ، وب‌سایت آلوده، اشتراک فایل). باز شدن فایل توسط کاربر شرط لازم بهره‌برداری است.

Execution (TA0002)

اجرای کد از طریق Heap-Based Buffer Overflow ناشی از Integer Overflow در پردازش JBIG2 صورت می‌گیرد. کد مهاجم در زمینه کاربر اجرا می‌شود

Persistence (TA0003)

در سناریوی پایه گزارش نشده؛ اما پس از اجرای موفق کد، مهاجم می‌تواند مکانیزم‌های ماندگاری Registry، Startup را پیاده‌سازی کند.

Impact (TA0040)

پیامد شامل اجرای کد دلخواه، افشای داده‌ها، تغییر رفتار سیستم و کرش برنامه است. در سناریوهای واقعی می‌تواند منجر به نصب بدافزار مرحله بعد یا دسترسی پایدار شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-66499
2. https://www.cvedetails.com/cve/CVE-2025-66499/
3. https://www.foxit.com/support/security-bulletins.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-66499
5. https://vuldb.com/?id.337575
6. https://nvd.nist.gov/vuln/detail/CVE-2025-66499
7. https://cwe.mitre.org/data/definitions/190.html