相信經常與PDF打交道的人都不會對福昕感到陌生,一家在國內起家國外走紅的國產廠商,該公司旗下的PDF閱讀器和PDF編輯器在全球擁有6.5億用戶。
本周二,福昕發布了PDF閱讀器和編輯器的安全更新,以解決包括遠程代碼執行在內的多個漏洞。
這些漏洞是Cisco Talos的研究人員發現的,編號為CVE-2021-21831、CVE-2021-21870 和CVE-2021-21893,CVSS嚴重性評分達到了8.8。
這些漏洞都是福昕PDF應用程序的JavaScript引擎中的釋放後重用漏洞。應用程序在處理某些JavaScript代碼或注釋對象時,存在暴露於遠程代碼執行漏洞攻擊的風險。
攻擊者可以利用此漏洞製作惡意的PDF文件,誘騙目標打開,從而執行任意代碼。根據Cisco Talos研究人員的說法,如果受害者啟用了福昕的瀏覽器插件,該漏洞也可以通過惡意網站進行利用。
此外,福昕也解決了應用程序存在的一些其他問題,如:
未能正確處理循環條件,由無限循環導致的堆棧溢出問題。該問題導致了應用程序在遍歷PDF文件的書籤節點時存在暴露於釋放後重用遠程代碼執行漏洞攻擊和崩潰的風險。
使用遞歸解析XML節點時,遞歸級別超過最大遞歸深度的問題。該問題導致應用程序在使用太多嵌入式節點分析XML數據時存在暴露於堆棧溢出漏洞攻擊和崩潰的風險。
在執行submitForm函數時,應用程序存在任意文件寫入漏洞的問題。攻擊者可以利用該漏洞在本地系統創建任意文件並注入不受控制的內容。
受漏洞影響的Windows平台的福昕PDF閱讀器為11.0.0.0.49893 及以前的版本,PDF編輯器為11.0.0.0.49893、 10.1.4.37651 及以前的版本。
Mac平台的該應用程序也受到了其中一些漏洞的影響。兩個平台的應用程序都可採用以下方式更新版本以免受漏洞影響:
1、從福昕PDF閱讀器或福昕PDF編輯器的”幫助”選項卡中,單擊”檢查更新”並更新到最新版本。
2、前往福昕官網下載應用程序的更新版本。
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/277710.html
微信掃一掃 
支付寶掃一掃 
