91妇女色啪网站一区二区-91干-91干逼-91干逼电影-91干逼国产精品-91干逼视频

行業新聞

您當前的位置:首頁 > 新聞資訊 > 行業新聞

福昕軟件曝出大量高危漏洞

發布源:深圳維創信息技術發布時間:2020-11-12 瀏覽次數:

近日,福昕軟件(Foxit Reader)旗下的Foxit Reader和PhantomPDF等流行PDF工具先后曝出高危的遠程代碼執行漏洞。

據悉,福昕軟件已經發布了補丁,修補了Windows版Foxit Reader和Foxit PhantomPDF(版本9.7.1.29511及更早版本)中與20個CVE相關的嚴重漏洞,其中一些漏洞使遠程攻擊者可以在易受攻擊的系統上執行任意代碼。

Foxit Reader是流行的PDF軟件,其免費版本的用戶群超過5億,它提供了用于創建、簽名和保護PDF文件的工具。

同時,PhantomPDF使用戶可以將不同的文件格式轉換為PDF。

除了數以百萬計的品牌軟件用戶外,亞馬遜、谷歌和微軟等大型公司還許可福昕軟件技術,從而進一步擴大了攻擊面。

根據趨勢科技ZDI漏洞分析,在針對這些漏洞的攻擊情形中,“需要用戶交互才能利用此漏洞,因為目標必須訪問惡意頁面或打開惡意文件” 。

部分漏洞信息如下:XFA模板的處理中存在漏洞(CVE-2020-10899,CVE-2020-10907),該模板是嵌入PDF的模板,允許填充字段。

這兩個問題都是由于在對對象執行操作之前缺少對象驗證機制。

攻擊者可以利用這兩個缺陷在當前進程的上下文中執行代碼。

研究人員還發現AcroForms的處理方式存在RCE漏洞(CVE-2020-10900)。

AcroForms是包含表單字段的PDF文件。

之所以存在該錯誤,是因為AcroForms在對該對象執行操作之前沒有驗證該對象的存在。

在Foxit Reader PDF中的resetForm方法中存在另一個漏洞(CVE-2020-10906),同樣是因為在對對象執行操作之前不會檢查對象,從而使該過程容易受到RCE攻擊。

此外,PhantomPDF也修補了一些高危漏洞,這些漏洞影響了9.7.1.29511版及更早版本。

強烈建議用戶立刻更新到PhantomPDF版本9.7.2。

最嚴重的是PhantomPDF的API通信中的兩個漏洞(CVE-2020-10890和CVE-2020-10892)。

從其他文檔類型創建PDF時,必須使用PhantomPDF API調用。

這些漏洞源自對ConvertToPDF命令和CombineFiles命令的處理,這允許使用攻擊者控制的數據寫入任意文件。

CVE-2020-10890和CVE-2020-10892尤為值得關注,因為它們相對容易被利用。


  • 上一篇:收到勒索電子郵件時該怎么辦
  • 下一篇:黑客在冠狀病毒大流行期間使用勒索軟件鎖定關鍵醫療設施
  • Copyright © 2021 深圳市維創信息技術有限公司 版權所有

    粵ICP備2021016007號

    主站蜘蛛池模板: 99久久久无码国产精品免费 | 爆料!欧美做受高潮大瓜终究露出真面目 | 日本校园片 | 亚洲第一站 | 欧美情侣高 | 亚洲三级毛片嫩草视频 | 色欲aⅴ亚洲情无码av蜜桃 | 亚洲激情视频 | 99无码一区二区 | 任你躁电视剧在线观看 | 日韩人妻一区二区三区蜜桃视频 | 国产成人h在线观看网站站 国产成人h在线视频 | 97高清免费国产自产拍 | 综合伊人久久在一二三区 | 午夜精品久久久久久久无码 | 亚洲国产成人精品无码一区二区 | 亚洲av中文无码乱人伦在线咪咕 | 免费久久在线观看三级 | 欧美a级情欲片在线观看免费 | 狠狠久久亚洲欧美专区 | 91影视免费版 | 91精品国产成人在线 | 亚洲国产精品成人久久综合网 | 免费观看欧 | 一级女人18毛片免费视频 | 亚洲精品国产美女久久久 | 亚洲国产综合91av视频在线 | 一区二区三区在线视频观看 | 日本欧美一二三区色视频 | 国产精品自在线拍国产下载 | 亚洲中文在线播 | 国产日韩在线亚洲字幕中文 | 99视频精品在线 | 无码精品av久久久免费 | 欧美成人综合视频 | 成人h动漫精品一区二区ji | 欧美成人中文综合视频精品 | 亚洲日韩欧美 | 色婷婷亚洲十月十月色天 | 欧美乱大交xxxxx | 精品熟女少妇aν免费久久 精品熟人妻一区二区三区四区不卡 |