国产精品人-国产精品人成人免-国产精品人成在线-国产精品人成在线播放-国产精品人成在线播放新网站-国产精品人成在线二区

行業(yè)新聞

您當前的位置:首頁 > 新聞資訊 > 行業(yè)新聞

福昕軟件曝出大量高危漏洞

發(fā)布源:深圳維創(chuàng)信息技術發(fā)布時間:2020-11-12 瀏覽次數:

近日,福昕軟件(Foxit Reader)旗下的Foxit Reader和PhantomPDF等流行PDF工具先后曝出高危的遠程代碼執(zhí)行漏洞。

據悉,福昕軟件已經發(fā)布了補丁,修補了Windows版Foxit Reader和Foxit PhantomPDF(版本9.7.1.29511及更早版本)中與20個CVE相關的嚴重漏洞,其中一些漏洞使遠程攻擊者可以在易受攻擊的系統(tǒng)上執(zhí)行任意代碼。

Foxit Reader是流行的PDF軟件,其免費版本的用戶群超過5億,它提供了用于創(chuàng)建、簽名和保護PDF文件的工具。

同時,PhantomPDF使用戶可以將不同的文件格式轉換為PDF。

除了數以百萬計的品牌軟件用戶外,亞馬遜、谷歌和微軟等大型公司還許可福昕軟件技術,從而進一步擴大了攻擊面。

根據趨勢科技ZDI漏洞分析,在針對這些漏洞的攻擊情形中,“需要用戶交互才能利用此漏洞,因為目標必須訪問惡意頁面或打開惡意文件” 。

部分漏洞信息如下:XFA模板的處理中存在漏洞(CVE-2020-10899,CVE-2020-10907),該模板是嵌入PDF的模板,允許填充字段。

這兩個問題都是由于在對對象執(zhí)行操作之前缺少對象驗證機制。

攻擊者可以利用這兩個缺陷在當前進程的上下文中執(zhí)行代碼。

研究人員還發(fā)現AcroForms的處理方式存在RCE漏洞(CVE-2020-10900)。

AcroForms是包含表單字段的PDF文件。

之所以存在該錯誤,是因為AcroForms在對該對象執(zhí)行操作之前沒有驗證該對象的存在。

在Foxit Reader PDF中的resetForm方法中存在另一個漏洞(CVE-2020-10906),同樣是因為在對對象執(zhí)行操作之前不會檢查對象,從而使該過程容易受到RCE攻擊。

此外,PhantomPDF也修補了一些高危漏洞,這些漏洞影響了9.7.1.29511版及更早版本。

強烈建議用戶立刻更新到PhantomPDF版本9.7.2。

最嚴重的是PhantomPDF的API通信中的兩個漏洞(CVE-2020-10890和CVE-2020-10892)。

從其他文檔類型創(chuàng)建PDF時,必須使用PhantomPDF API調用。

這些漏洞源自對ConvertToPDF命令和CombineFiles命令的處理,這允許使用攻擊者控制的數據寫入任意文件。

CVE-2020-10890和CVE-2020-10892尤為值得關注,因為它們相對容易被利用。


  • 上一篇:收到勒索電子郵件時該怎么辦
  • 下一篇:黑客在冠狀病毒大流行期間使用勒索軟件鎖定關鍵醫(yī)療設施
  • Copyright © 2021 深圳市維創(chuàng)信息技術有限公司 版權所有

    粵ICP備2021016007號

    主站蜘蛛池模板: 日本中文字幕免费 | 国产精品狼人久久久久影院 | 国内精品久久久久久影院 | 97在线观看 | 国产一区二区久久久 | 国产又黄又| 日韩精品专区av无码 | 91短视频在线免费观看 | 亚洲一区二区三区播放在线 | 国产在线观看免费 | 欧美不卡 | 久久国产福利播放 | 国产一区二区三区内射高清 | 一区二区高清视频在线观看 | 久久国产免费观看视频 | 国产精品高清视亚洲中文 | 亚洲午夜成人精品无码 | 亚洲av成人影片在线观看 | 亚洲国产成人久久综 | 免费无码又爽色网视频在线观看 | 久久国产精品无码hd | 亚洲国产精品成人久久综合网 | 性生活网站 | 亚洲精品乱码久久久久久自慰 | 久久成人麻豆午夜电影 | 免费无码片国产在线观看 | 国产熟女精品视频大全 | 无码国产色视频迅雷下载 | 日韩精品人妻系列无码专区免费 | 国产午夜亚洲精品三区 | 中文字幕无码乱人伦 | 五月婷婷婷六月网站 | 欧美日韩精美视频在线观看 | 国产无遮挡裸体免费视频在线观看 | 九九性爱在线视频电影 | 久久精品人妻一区 | 国产一级毛片中文字幕av | 国产日本三级 | 国产日韩一区二区三区免费高清 | 亚洲一区二区在线观看h | 极品粉嫩国产18尤物在线观看 |