[[414101]]

福昕軟件(Foxit Software)本周發(fā)布了福昕PDF閱讀器和PDF編輯器的安全更新，用于解決導(dǎo)致遠(yuǎn)程代碼執(zhí)行的多個漏洞。

這些遠(yuǎn)程代碼執(zhí)行漏洞被跟蹤為CVE-2021-21831、CVE-2021-21870 和CVE-2021-21893，由Cisco Talos研究人員發(fā)現(xiàn)。

其中CVSS的嚴(yán)重性評分為8.8。由于某些JavaScript代碼或注釋對象的處理方式，惡意制作的PDF文件可能會導(dǎo)致重復(fù)使用以前空閑的內(nèi)存和任意代碼執(zhí)行。

攻擊者可以通過欺騙目標(biāo)用戶打開惡意PDF文件來利用該漏洞。根據(jù)Cisco Talos的公告，如果受害者啟用了Foxit的瀏覽器插件，攻擊者還可以通過惡意網(wǎng)站利用該漏洞。

福昕軟件還解決了應(yīng)用程序處理某些PDF文件中的注釋對象的漏洞。

福昕軟件解釋說，當(dāng)Annotation字典有多個關(guān)聯(lián)的注釋對象并且可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行時，就會出現(xiàn)漏洞。

更新所解決的另一個安全問題是，用戶在瀏覽完某些PDF文件中的書簽節(jié)點(diǎn)后，釋放時也可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

福昕軟件還解決了具有過多嵌入節(jié)點(diǎn)的XML數(shù)據(jù)、執(zhí)行submitForm函數(shù)或解析特制PDF文件相關(guān)的潛在安全問題。

福昕軟件還發(fā)現(xiàn)其中一些漏洞會影響Foxit應(yīng)用程序的macOS版本，并且還為它們發(fā)布了補(bǔ)丁。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文