福昕软件曝出大量高危漏洞

近日,福昕软件(Foxit Reader)旗下的Foxit Reader和PhantomPDF等流行PDF工具先后曝出高危的远程代码执行漏洞。

据悉,福昕软件已经发布了补丁,修补了Windows版Foxit Reader和Foxit PhantomPDF(版本9.7.1.29511及更早版本)中与20个CVE相关的严重漏洞,其中一些漏洞使远程攻击者可以在易受攻击的系统上执行任意代码。

Foxit Reader是流行的PDF软件,其免费版本的用户群超过5亿,它提供了用于创建,签名和保护PDF文件的工具。同时,PhantomPDF使用户可以将不同的文件格式转换为PDF。除了数以百万计的品牌软件用户外,亚马逊,谷歌和微软等大型公司还许可福昕软件技术,从而进一步扩大了攻击面。

根据趋势科技ZDI 漏洞分析,在针对这些漏洞的攻击情形中,“需要用户交互才能利用此漏洞,因为目标必须访问恶意页面或打开恶意文件” 。

部分漏洞信息如下:

XFA模板的处理中存在漏洞(CVE-2020-10899, CVE-2020-10907),该模板是嵌入PDF的模板,允许填充字段。这两个问题都是由于在对对象执行操作之前缺少对象验证机制。攻击者可以利用这两个缺陷在当前进程的上下文中执行代码。研究人员还发现AcroForms的处理方式存在RCE漏洞(CVE-2020-10900)。AcroForms是包含表单字段的PDF文件。之所以存在该错误,是因为AcroForms在对该对象执行操作之前没有验证该对象的存在。

在Foxit Reader PDF中的resetForm方法中存在另一个漏洞(CVE-2020-10906),同样是因为在对对象执行操作之前不会检查对象,从而使该过程容易受到RCE攻击。

此外,PhantomPDF也修补了一些高危漏洞,这些漏洞影响了9.7.1.29511版及更早版本。 强烈建议用户立刻更新到PhantomPDF版本9.7.2。最严重的是PhantomPDF的API通信中的两个漏洞(CVE-2020-10890  和  CVE-2020-10892)。从其他文档类型创建PDF时,必须使用PhantomPDF API调用。这些漏洞源自对ConvertToPDF命令和CombineFiles命令的处理,这允许使用攻击者控制的数据写入任意文件

CVE-2020-10890和CVE-2020-10892尤为值得关注,因为它们相对容易被利用。

参考链接:

福昕软件安全公告牌:

https://www.foxitsoftware.com/support/security-bulletins.php

 

凡本网站转载的所有的文章、图片、音频、视频文件等资料的版权归版权所有人,如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。
推荐产品
PRODUCT
抗D云WAF,DDOS攻击,DDOS流量清洗,高防CDN,CDN防御服务器,CDN防护

抗D云WAF

下一代Web类业务DDoS防御服务,自研云甲DDoS清洗系统,DDoS清洗中心覆盖全球主要国家,千万级CC攻击防御能力,让您的业务固若金汤。

查看详情
云御游戏盾,游戏,游戏盾,直播高防cdn,游戏服务器多少钱,高防主机

云御游戏盾

专为在线游戏打造的终极DDoS防御服务,多种DDoS清洗算法和规则,端云联动,无损清洗DDoS攻击,Anycast近源清洗和加速网络保障游戏丝滑流畅。

查看详情

马上开启您的安全之旅

立即开启