福昕阅读器爆出多个任意代码执行漏洞

安全 应用安全
福昕软件(Foxit Software)本周发布了福昕PDF阅读器和PDF编辑器的安全更新,用于解决导致远程代码执行的多个漏洞。

[[414101]]

福昕软件(Foxit Software)本周发布了福昕PDF阅读器和PDF编辑器的安全更新,用于解决导致远程代码执行的多个漏洞。

这些远程代码执行漏洞被跟踪为CVE-2021-21831、CVE-2021-21870 和CVE-2021-21893,由Cisco Talos研究人员发现。

其中CVSS的严重性评分为8.8。由于某些JavaScript代码或注释对象的处理方式,恶意制作的PDF文件可能会导致重复使用以前空闲的内存和任意代码执行。

攻击者可以通过欺骗目标用户打开恶意PDF文件来利用该漏洞。根据Cisco Talos的公告,如果受害者启用了Foxit的浏览器插件,攻击者还可以通过恶意网站利用该漏洞。

福昕软件还解决了应用程序处理某些PDF文件中的注释对象的漏洞。

福昕软件解释说,当Annotation字典有多个关联的注释对象并且可能导致远程代码执行时,就会出现漏洞。

更新所解决的另一个安全问题是,用户在浏览完某些PDF文件中的书签节点后,释放时也可能导致远程代码执行。

福昕软件还解决了具有过多嵌入节点的XML数据、执行submitForm函数或解析特制PDF文件相关的潜在安全问题。

福昕软件还发现其中一些漏洞会影响Foxit应用程序的macOS版本,并且还为它们发布了补丁。

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文  

 

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2021-05-10 09:52:37

漏洞恶意代码网络攻击

2017-10-12 06:42:16

Tomcat代码漏洞

2022-04-07 18:51:29

VMware漏洞网络攻击

2011-08-09 14:30:59

2013-09-02 16:52:31

Windows 8.1

2022-07-20 10:02:34

代码开发阅读

2020-10-19 14:01:34

漏洞Linux代码

2014-12-03 10:46:15

iReader

2021-11-08 11:52:17

漏洞LinuxLinux TIPC

2009-05-31 15:34:37

2017-04-11 13:31:40

阅读器开源RSS

2009-05-05 09:00:48

RSS浏览器

2021-05-11 15:44:31

UbuntuLinux

2024-05-16 13:44:18

2011-09-09 10:19:13

2024-10-08 21:22:17

2024-05-21 12:47:27

2013-09-03 11:06:05

Windows

2011-09-15 18:43:00

UbuntuchmPDF

2013-09-02 16:59:34

JavaScriptHTML
点赞
收藏

51CTO技术栈公众号