国产精品人-国产精品人成人免-国产精品人成在线-国产精品人成在线播放-国产精品人成在线播放新网站-国产精品人成在线二区

行業(yè)新聞

您當前的位置:首頁 > 新聞資訊 > 行業(yè)新聞

福昕軟件曝出大量高危漏洞

發(fā)布源:深圳維創(chuàng)信息技術發(fā)布時間:2020-11-12 瀏覽次數:

近日,福昕軟件(Foxit Reader)旗下的Foxit Reader和PhantomPDF等流行PDF工具先后曝出高危的遠程代碼執(zhí)行漏洞。

據悉,福昕軟件已經發(fā)布了補丁,修補了Windows版Foxit Reader和Foxit PhantomPDF(版本9.7.1.29511及更早版本)中與20個CVE相關的嚴重漏洞,其中一些漏洞使遠程攻擊者可以在易受攻擊的系統(tǒng)上執(zhí)行任意代碼。

Foxit Reader是流行的PDF軟件,其免費版本的用戶群超過5億,它提供了用于創(chuàng)建、簽名和保護PDF文件的工具。

同時,PhantomPDF使用戶可以將不同的文件格式轉換為PDF。

除了數以百萬計的品牌軟件用戶外,亞馬遜、谷歌和微軟等大型公司還許可福昕軟件技術,從而進一步擴大了攻擊面。

根據趨勢科技ZDI漏洞分析,在針對這些漏洞的攻擊情形中,“需要用戶交互才能利用此漏洞,因為目標必須訪問惡意頁面或打開惡意文件” 。

部分漏洞信息如下:XFA模板的處理中存在漏洞(CVE-2020-10899,CVE-2020-10907),該模板是嵌入PDF的模板,允許填充字段。

這兩個問題都是由于在對對象執(zhí)行操作之前缺少對象驗證機制。

攻擊者可以利用這兩個缺陷在當前進程的上下文中執(zhí)行代碼。

研究人員還發(fā)現AcroForms的處理方式存在RCE漏洞(CVE-2020-10900)。

AcroForms是包含表單字段的PDF文件。

之所以存在該錯誤,是因為AcroForms在對該對象執(zhí)行操作之前沒有驗證該對象的存在。

在Foxit Reader PDF中的resetForm方法中存在另一個漏洞(CVE-2020-10906),同樣是因為在對對象執(zhí)行操作之前不會檢查對象,從而使該過程容易受到RCE攻擊。

此外,PhantomPDF也修補了一些高危漏洞,這些漏洞影響了9.7.1.29511版及更早版本。

強烈建議用戶立刻更新到PhantomPDF版本9.7.2。

最嚴重的是PhantomPDF的API通信中的兩個漏洞(CVE-2020-10890和CVE-2020-10892)。

從其他文檔類型創(chuàng)建PDF時,必須使用PhantomPDF API調用。

這些漏洞源自對ConvertToPDF命令和CombineFiles命令的處理,這允許使用攻擊者控制的數據寫入任意文件。

CVE-2020-10890和CVE-2020-10892尤為值得關注,因為它們相對容易被利用。


  • 上一篇:收到勒索電子郵件時該怎么辦
  • 下一篇:黑客在冠狀病毒大流行期間使用勒索軟件鎖定關鍵醫(yī)療設施
  • Copyright © 2021 深圳市維創(chuàng)信息技術有限公司 版權所有

    粵ICP備2021016007號

    主站蜘蛛池模板: 成人精品a片免费观看直播69 | 乱人伦人妻 | 亚洲国精产品二二三三区 | 国产日本精品一区二区 | 亚洲欧美国产日韩动漫 | 国产欧美一区二区精品性色tv | 日本精品在线播放 | av国産精| 久久精品国产亚洲av麻豆网站 | 午夜影视啪啪免费体验区深夜 | 天堂av无码av一区二区三区 | 羞羞视频网站入口 | 久久大蕉香 | 国产色av在 | 18禁男女污污污午夜网站免费暖暖 | 久久发布国产 | 久久99蜜桃精品久久久久 | 粉嫩小泬无遮挡久久久久久 | 亚洲国产成人aⅴ毛片奶水 亚洲国产成人av毛片大全 | 欧美成人精品一区二区三区 | 欧美性高清bbbbbbxxxxx | 先锋影音在线一区二区在线资源 | 97视频在线观看精品 | 国模精品一区二区三区 | 国产网红直播造人在线播放影院 | 久久五月天国产片 | 毛片成人永久免费视频 | 日韩精品无码av成人观看 | 欧美成年黄网站色高清视频 | 亚洲av成人片无码网站网 | www国| 精品曰韩av专区一区二区 | 免费一级无码婬片a片aaa小说 | 日韩a片无码一区二区五区电影 | 久久国产青偷人人妻潘金莲 | 69国产亚洲精品a久久 | 无码一区二区精品久久 | 国产中文字幕乱人伦在线观看 | 国产乱码一区二区三区爽爽爽 | 国产字幕制服中文在线 | 欧美成人v片观看 |