查看原文
其他

福昕发布安全更新,PDF软件存在多个漏洞

左右里 看雪学苑 2022-05-03

作者:左右里

编辑:釉子


相信经常与PDF打交道的人都不会对福昕感到陌生,一家在国内起家国外走红的国产厂商,该公司旗下的PDF阅读器和PDF编辑器在全球拥有6.5亿用户。


本周二,福昕发布了PDF阅读器和编辑器的安全更新,以解决包括远程代码执行在内的多个漏洞。

 

这些漏洞是Cisco Talos的研究人员发现的,编号为CVE-2021-21831、CVE-2021-21870 和CVE-2021-21893,CVSS严重性评分达到了8.8。

 

这些漏洞都是福昕PDF应用程序的JavaScript引擎中的释放后重用漏洞。应用程序在处理某些JavaScript代码或注释对象时,存在暴露于远程代码执行漏洞攻击的风险。


攻击者可以利用此漏洞制作恶意的PDF文件,诱骗目标打开,从而执行任意代码。根据Cisco Talos研究人员的说法,如果受害者启用了福昕的浏览器插件,该漏洞也可以通过恶意网站进行利用。

 

此外,福昕也解决了应用程序存在的一些其他问题,如:


未能正确处理循环条件,由无限循环导致的堆栈溢出问题。该问题导致了应用程序在遍历PDF文件的书签节点时存在暴露于释放后重用远程代码执行漏洞攻击和崩溃的风险。


使用递归解析XML节点时,递归级别超过最大递归深度的问题。该问题导致应用程序在使用太多嵌入式节点分析XML数据时存在暴露于堆栈溢出漏洞攻击和崩溃的风险。

在执行submitForm函数时,应用程序存在任意文件写入漏洞的问题。攻击者可以利用该漏洞在本地系统创建任意文件并注入不受控制的内容。

 

受漏洞影响的Windows平台的福昕PDF阅读器为11.0.0.0.49893 及以前的版本,PDF编辑器为11.0.0.0.49893、 10.1.4.37651 及以前的版本。

 

Mac平台的该应用程序也受到了其中一些漏洞的影响。两个平台的应用程序都可采用以下方式更新版本以免受漏洞影响:

1、从福昕PDF阅读器或福昕PDF编辑器的"帮助"选项卡中,单击"检查更新"并更新到最新版本。
2、前往福昕官网下载应用程序的更新版本。(https://www.foxit.com/downloads/





推荐文章++++

* 明确规范人脸识别!最高人民法院发布司法解释
互联网专项整治行动已启动!聚焦弹窗欺骗等热点难点问题* 日美欧众多网站瘫痪,缘于阿卡迈系统故障
* 开发微信抢红包软件被罚475万!

* 谷歌详细披露4个0day漏洞!已有黑客正在利用

* 微软7月累积更新来了!修复13个高危漏洞
又一非法采集人脸信息企业被查处!人脸信息保护刻不容缓






公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com




球分享

球点赞

球在看



戳“阅读原文”一起来充电吧!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存