91妇女色啪网站一区二区-91干-91干逼-91干逼电影-91干逼国产精品-91干逼视频

行業新聞

您當前的位置:首頁 > 新聞資訊 > 行業新聞

福昕軟件曝出大量高危漏洞

發布源:深圳維創信息技術發布時間:2020-11-12 瀏覽次數:

近日,福昕軟件(Foxit Reader)旗下的Foxit Reader和PhantomPDF等流行PDF工具先后曝出高危的遠程代碼執行漏洞。

據悉,福昕軟件已經發布了補丁,修補了Windows版Foxit Reader和Foxit PhantomPDF(版本9.7.1.29511及更早版本)中與20個CVE相關的嚴重漏洞,其中一些漏洞使遠程攻擊者可以在易受攻擊的系統上執行任意代碼。

Foxit Reader是流行的PDF軟件,其免費版本的用戶群超過5億,它提供了用于創建、簽名和保護PDF文件的工具。

同時,PhantomPDF使用戶可以將不同的文件格式轉換為PDF。

除了數以百萬計的品牌軟件用戶外,亞馬遜、谷歌和微軟等大型公司還許可福昕軟件技術,從而進一步擴大了攻擊面。

根據趨勢科技ZDI漏洞分析,在針對這些漏洞的攻擊情形中,“需要用戶交互才能利用此漏洞,因為目標必須訪問惡意頁面或打開惡意文件” 。

部分漏洞信息如下:XFA模板的處理中存在漏洞(CVE-2020-10899,CVE-2020-10907),該模板是嵌入PDF的模板,允許填充字段。

這兩個問題都是由于在對對象執行操作之前缺少對象驗證機制。

攻擊者可以利用這兩個缺陷在當前進程的上下文中執行代碼。

研究人員還發現AcroForms的處理方式存在RCE漏洞(CVE-2020-10900)。

AcroForms是包含表單字段的PDF文件。

之所以存在該錯誤,是因為AcroForms在對該對象執行操作之前沒有驗證該對象的存在。

在Foxit Reader PDF中的resetForm方法中存在另一個漏洞(CVE-2020-10906),同樣是因為在對對象執行操作之前不會檢查對象,從而使該過程容易受到RCE攻擊。

此外,PhantomPDF也修補了一些高危漏洞,這些漏洞影響了9.7.1.29511版及更早版本。

強烈建議用戶立刻更新到PhantomPDF版本9.7.2。

最嚴重的是PhantomPDF的API通信中的兩個漏洞(CVE-2020-10890和CVE-2020-10892)。

從其他文檔類型創建PDF時,必須使用PhantomPDF API調用。

這些漏洞源自對ConvertToPDF命令和CombineFiles命令的處理,這允許使用攻擊者控制的數據寫入任意文件。

CVE-2020-10890和CVE-2020-10892尤為值得關注,因為它們相對容易被利用。


  • 上一篇:收到勒索電子郵件時該怎么辦
  • 下一篇:黑客在冠狀病毒大流行期間使用勒索軟件鎖定關鍵醫療設施
  • Copyright © 2021 深圳市維創信息技術有限公司 版權所有

    粵ICP備2021016007號

    主站蜘蛛池模板: 精品日本三级在线观看视频 | 无码三级片大全在线观看无码 | 国产精品视频第一区二区三区 | 国产精品福利电影一区二区三区四区欧 | 亚洲国产精品嫩草影院 | 中文字幕无码中文字幕有 | 日本有码中文字幕第一页在线播放 | 国产精品亚洲av毛片一区二区三区 | 精品一区二区三区密臀在线 | 熟女精品视频一区二区三区 | 亚洲视频在线视 | 成人裸体视频免费观看 | 麻豆精品人妻一区二 | 欧美又色又爽又黄的a片18禁 | 国产福利萌白酱精品tv一区 | 欧美电影一区二区三区 | 亚洲国产av无码专区亚洲av | 午夜亚洲av日韩av无码大全 | 91手游网| 伊人久久综合97 | 国产成人av免费在线观看 | 日韩av高清在线观看 | 亚洲日韩欧美国产一区二区你懂的 | 麻豆国产尤物av尤物在线观看 | 东京热中文字 | 国产精品爆乳奶水无码视频免费 | 麻豆av最新在线播放 | 国产成人精品成人a在线观看 | 国产免费一区二区三区香蕉精 | 日本色一区二区三区 | 一区二区免费国产在线观看 | 无码人妻av大片色欲 | 夜夜久久 | 综合另类小说色区色噜噜 | 国产精品va在线观看丝瓜影院 | av无码国产在线看免费网站 | 亚洲中文久久久久久久国产精品 | 精品国产免费观看一区高清 | 国产麻豆一区二区久久久 | 99精品国产综合久久久久五月天 | 91精品国产麻豆91久久久久久 |