Новости · Безопасность файлов

Foxit устранил около 20 уязвимостей в PDF Reader и Editor: чем опасен вредоносный PDF

Foxit — один из самых популярных бесплатных просмотрщиков PDF после Adobe — выпустил внеплановое обновление безопасности. В версиях 2026.1.2 разработчик закрыл почти два десятка уязвимостей, большинство из которых позволяли выполнить чужой код, если открыть специально подготовленный PDF-файл. Обновление касается всех, кто читает и редактирует PDF в продуктах Foxit.

11 июля 2026 Редакция LoadFile Чтение 5 мин
Красный значок PDF-файла с треснувшим защитным щитом и предупреждающим знаком

Коротко: 8 июля 2026 Foxit выпустил PDF Reader и PDF Editor 2026.1.2. Патч закрывает около 20 уязвимостей; большинство — обращение к уже освобождённой памяти (use-after-free), которое через вредоносный PDF ведёт к выполнению кода. Самая опасная (CVSS 8.2) — подмена DLL при проверке обновлений. Уязвимы сборки вплоть до 2026.1.1. Решение — обновиться до 2026.1.2.

Что произошло

8 июля 2026 года компания Foxit опубликовала бюллетень безопасности и выпустила Foxit PDF Reader 2026.1.2 и Foxit PDF Editor 2026.1.2. Одним пакетом разработчик закрыл около двух десятков уязвимостей в своих продуктах для чтения и редактирования PDF. По данным профильных изданий, до 14 из них позволяли добиться выполнения произвольного кода (remote code execution) на компьютере жертвы.

Ошибки нашли и передали разработчику исследователи из Trend Zero-Day Initiative (ZDI) и Cisco Talos — двух известных программ по поиску уязвимостей нулевого дня. Foxit исправил их скоординированно, до появления публичных эксплойтов, поэтому массовых атак на момент выхода патча не зафиксировано. Но окно между публикацией бюллетеня и обновлением на машинах пользователей — как раз то время, которым пользуются злоумышленники.

В чём суть уязвимостей

Большинство закрытых ошибок относится к классу use-after-free (обращение к уже освобождённой памяти, CWE-416). Программа освобождает участок памяти, но продолжает им пользоваться; если атакующий заранее разместит там свои данные, он может перехватить управление и запустить собственный код. В патч вошли и другие типы повреждения памяти: переполнение буфера (CWE-120), запись за границей массива (CWE-787), путаница типов (CWE-843) и некорректная проверка индекса (CWE-129).

Спусковой крючок во всех случаях — сам PDF-файл. По описанию Foxit, атака срабатывает через встроенный в документ JavaScript, а также через аномальные аннотации, искажённое дерево страниц, повреждённые поля подписи и обманное XDP-содержимое. То есть внешне обычный документ, присланный по почте или скачанный из сети, при открытии в уязвимой версии Foxit мог выполнить заложенную в него команду.

!
Почему это важно для обычного пользователя

PDF воспринимается как «безопасный» формат для документов — счетов, договоров, инструкций. Но PDF умеет исполнять скрипты, и именно этим пользуются атакующие. Достаточно открыть заражённый файл в устаревшей версии просмотрщика — установка вредоноса не требует ни архивов, ни исполняемых .exe.

Самая опасная брешь — не в самом чтении PDF

Отдельно стоит уязвимость с наивысшим в этом наборе баллом CVSS 8.2 — локальное повышение привилегий в механизме проверки обновлений (CVE-2026-57239, класс CWE-427). Служба обновления Foxit при определённых условиях могла запускать подставленные злоумышленником DLL-библиотеки или исполняемые файлы с повышенными правами. То есть атакующий, уже имеющий доступ к системе, мог через этот механизм закрепиться и получить более высокие полномочия. Большинство же RCE-уязвимостей получили оценку 7.8 — «важная» степень риска.

Кого касается и какие версии уязвимы

Проблема затрагивает Windows-версии продуктов Foxit (а исправления Reader и Editor вышли и для macOS). Уязвимы:

  • Foxit PDF Reader — сборки 2026.1.1.36485 и более ранние;
  • Foxit PDF Editor — широкий диапазон веток: 2026.x, 2025.x, 2024.x, 2023.x, а также устаревшие линейки 14.x и часть 13.x.

Исправленные версии — Foxit PDF Reader 2026.1.2, Foxit PDF Editor 2026.1.2 и Foxit PDF Editor 14.0.5 для тех, кто остаётся на прошлогодней ветке. Стоит учитывать, что оценки числа уязвимостей у разных источников слегка расходятся (около 18–20 CVE) — это нормально: издания по-разному считают связанные записи. На суть это не влияет: обновляться нужно в любом случае.

Что это значит для работы с файлами

История Foxit — очередное напоминание: программа, через которую проходят входящие документы, требует такого же внимания к обновлениям, как браузер или антивирус. PDF остаётся стандартом деловой переписки именно потому, что открывается «у всех», — и по той же причине это удобная мишень. Уязвимости в парсерах PDF находят регулярно; недавно похожий пакет RCE-исправлений выходил и у других вендоров — например, критическую брешь закрывала Adobe в ColdFusion.

Если вы часто работаете с этим форматом, освежить базу помогут наши разборы: чем открыть PDF и что вообще умеет этот контейнер. А общие правила безопасной работы с вложениями — в разделе безопасность файлов: как не запускать подозрительное и проверять файлы на вирусы перед открытием.

Что делать прямо сейчас

  1. Проверьте версию: в Foxit откройте «Справка» → «О программе» (Help → About). Если это 2026.1.1 или старше — обновляйтесь.
  2. Обновитесь до 2026.1.2 через встроенную проверку обновлений или скачайте дистрибутив только с официального сайта foxit.com. Не берите PDF-редакторы со случайных «зеркал» — это классический канал заражения.
  3. До обновления отключите выполнение JavaScript в настройках Foxit (Preferences → JavaScript) — это снимает основной вектор атаки через встроенные скрипты.
  4. Не открывайте PDF из недоверенных писем и ссылок. Сомневаетесь в файле — сначала проверьте его на вирусы или откройте в изолированной среде либо в браузере.

Обновление бесплатно для текущих пользователей и не меняет привычный интерфейс — по сути это тихая, но важная заплатка безопасности.

Источники

Читайте также