亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

近日，福昕軟件（Foxit Reader）旗下的Foxit Reader和PhantomPDF等流行PDF工具先后曝出高危的遠(yuǎn)程代碼執(zhí)行漏洞。

據(jù)悉，福昕軟件已經(jīng)發(fā)布了補(bǔ)丁，修補(bǔ)了Windows版Foxit Reader和Foxit PhantomPDF（版本9.7.1.29511及更早版本）中與20個(gè)CVE相關(guān)的嚴(yán)重漏洞，其中一些漏洞使遠(yuǎn)程攻擊者可以在易受攻擊的系統(tǒng)上執(zhí)行任意代碼。

Foxit Reader是流行的PDF軟件，其免費(fèi)版本的用戶群超過5億，它提供了用于創(chuàng)建，簽名和保護(hù)PDF文件的工具。同時(shí)，PhantomPDF使用戶可以將不同的文件格式轉(zhuǎn)換為PDF。除了數(shù)以百萬計(jì)的品牌軟件用戶外，亞馬遜，谷歌和微軟等大型公司還許可福昕軟件技術(shù)，從而進(jìn)一步擴(kuò)大了攻擊面。

根據(jù)趨勢科技ZDI 漏洞分析，在針對這些漏洞的攻擊情形中，“需要用戶交互才能利用此漏洞，因?yàn)槟繕?biāo)必須訪問惡意頁面或打開惡意文件” 。

部分漏洞信息如下：

XFA模板的處理中存在漏洞（CVE-2020-10899， CVE-2020-10907），該模板是嵌入PDF的模板，允許填充字段。這兩個(gè)問題都是由于在對對象執(zhí)行操作之前缺少對象驗(yàn)證機(jī)制。攻擊者可以利用這兩個(gè)缺陷在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。研究人員還發(fā)現(xiàn)AcroForms的處理方式存在RCE漏洞（CVE-2020-10900）。AcroForms是包含表單字段的PDF文件。之所以存在該錯(cuò)誤，是因?yàn)锳croForms在對該對象執(zhí)行操作之前沒有驗(yàn)證該對象的存在。

在Foxit Reader PDF中的resetForm方法中存在另一個(gè)漏洞（CVE-2020-10906），同樣是因?yàn)樵趯ο髨?zhí)行操作之前不會(huì)檢查對象，從而使該過程容易受到RCE攻擊。

此外，PhantomPDF也修補(bǔ)了一些高危漏洞，這些漏洞影響了9.7.1.29511版及更早版本。 強(qiáng)烈建議用戶立刻更新到PhantomPDF版本9.7.2。最嚴(yán)重的是PhantomPDF的API通信中的兩個(gè)漏洞（CVE-2020-10890? 和? CVE-2020-10892）。從其他文檔類型創(chuàng)建PDF時(shí)，必須使用PhantomPDF API調(diào)用。這些漏洞源自對ConvertToPDF命令和CombineFiles命令的處理，這允許使用攻擊者控制的數(shù)據(jù)寫入任意文件

CVE-2020-10890和CVE-2020-10892尤為值得關(guān)注，因?yàn)樗鼈兿鄬θ菀妆焕谩?/p>

參考鏈接：

福昕軟件安全公告牌：

https://www.foxitsoftware.com/support/security-bulletins.php