官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
CNNVD- 关注
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。
近日,福昕阅读器官方网站发布安全漏洞公告,涉及FoxitReader exportAsFDF远程代码执行漏洞、Foxit Reader 缓冲区错误漏洞等83个安全漏洞。其中高危漏洞2个,中危漏洞77个,低危漏洞4个。福昕阅读器FoxitReader 9.1.0.5096及之前的版本均受上述漏洞影响。上述漏洞可能导致在目标系统上执行任意代码、写入任意文件、泄露敏感信息等。目前,福昕阅读器官方已经发布补丁修复了上述漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
一、漏洞介绍
福昕阅读器Foxit Reader是福建福昕软件开发股份有限公司的一款PDF文档阅读器,支持 Windows95/98/Me/2000/XP/2003/Vista Windows 7/8/8.1等操作系统。福昕阅读器FoxitReader 9.1.0.5096及之前版本存在多个安全漏洞、包括远程代码执行、缓冲区错误、数字错误漏洞等。成功利用漏洞的攻击者可以获取用户隐私信息、在目标系统上执行任意代码。其中高危漏洞具体内容见表1。
| 序号 | 漏洞名称 | 漏洞编号 | 漏洞简介 |
|---|---|---|---|
| 1 | Foxit Reader exportAsFDF远程代码执行漏洞 (高危) | CNNVD-201807-1629 CVE-2018-14281 | 基于Windows平台的Foxit Reader 9.1.0.5096及之前版本中的exportData XFA函数存在漏洞,该漏洞源于程序没有正确的验证用户提交的数据。攻击者可利用该漏洞向攻击者控制的地址写入任意文件,在当前进程的上下文中执行任意代码。 |
| 2 | Foxit Reader exportData远程代码执行漏洞 (高危) | CNNVD-201807-1630 CVE-2018-14282 | 基于Windows平台的Foxit Reader 9.1.0.5096及之前版本中的exportData XFA函数存在安全存在在漏洞,该漏洞源于程序没有正确的验证用户提交的数据。攻击者可利用该漏洞向攻击者控制的地址写入任意文件,在当前进程的上下文中执行任意代码。 |
表1 Foxit Reader高危漏洞列表
二、修复建议
目前,福昕阅读器官方已经发布补丁修复了上述漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接地址如下:
https://www.foxitsoftware.com/support/security-bulletins.php
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
联系方式: cnnvd@itsec.gov.cn
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 23 文章数
- 42 关注者