福昕阅读器爆出多个任意代码执行漏洞

福昕阅读器爆出多个任意代码执行漏洞

黑客专题访客2021-10-11 23:24:003852A+A-

福昕软件(Foxit Software)本周发布了福昕PDF阅读器和PDF编辑器的安全更新,用于解决导致远程代码执行的多个漏洞。

这些远程代码执行漏洞被跟踪为CVE-2021-21831、CVE-2021-21870 和CVE-2021-21893,由Cisco Talos研究人员发现。

其中CVSS的严重性评分为8.8。由于某些JavaScript代码或注释对象的处理方式,恶意制作的PDF文件可能会导致重复使用以前空闲的内存和任意代码执行。

攻击者可以通过欺骗目标用户打开恶意PDF文件来利用该漏洞。根据Cisco Talos的公告,如果受害者启用了Foxit的浏览器插件,攻击者还可以通过恶意网站利用该漏洞。

福昕软件还解决了应用程序处理某些PDF文件中的注释对象的漏洞。

福昕软件解释说,当Annotation字典有多个关联的注释对象并且可能导致远程代码执行时,就会出现漏洞。

更新所解决的另一个安全问题是,用户在浏览完某些PDF文件中的书签节点后,释放时也可能导致远程代码执行。

福昕软件还解决了具有过多嵌入节点的XML数据、执行submitForm函数或解析特制PDF文件相关的潜在安全问题。

福昕软件还发现其中一些漏洞会影响Foxit应用程序的macOS版本,并且还为它们发布了补丁。

来源:安全牛

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 竹祭旧竹2022-06-04 10:32:36
  • 码执行。福昕软件还解决了具有过多嵌入节点的XML数据、执行submitForm函数或解析特制PDF文件相关的潜在安全问题。福昕软件还发现其中一些漏洞会影响Foxit应用程序的
  • 莣萳优伶2022-06-04 05:40:24
  • ,如果受害者启用了Foxit的浏览器插件,攻击者还可以通过恶意网站利用该漏洞。福昕软件还解决了应用程序处理某些PDF文件中的注释对象的漏洞。福昕软件解释说,当Annotation字典有多个关联的注释对象并且可能导致远程代码执行时,就会出现漏洞。更新所解决的另一个安全

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理