相信经常与PDF打交道的人都不会对福昕感到陌生,一家在国内起家国外走红的国产厂商,该公司旗下的PDF阅读器和PDF编辑器在全球拥有6.5亿用户。
本周二,福昕发布了PDF阅读器和编辑器的安全更新,以解决包括远程代码执行在内的多个漏洞。
这些漏洞是Cisco Talos的研究人员发现的,编号为CVE-2021-21831、CVE-2021-21870 和CVE-2021-21893,CVSS严重性评分达到了8.8。
这些漏洞都是福昕PDF应用程序的JavaScript引擎中的释放后重用漏洞。应用程序在处理某些JavaScript代码或注释对象时,存在暴露于远程代码执行漏洞攻击的风险。
攻击者可以利用此漏洞制作恶意的PDF文件,诱骗目标打开,从而执行任意代码。根据Cisco Talos研究人员的说法,如果受害者启用了福昕的浏览器插件,该漏洞也可以通过恶意网站进行利用。
此外,福昕也解决了应用程序存在的一些其他问题,如:
未能正确处理循环条件,由无限循环导致的堆栈溢出问题。该问题导致了应用程序在遍历PDF文件的书签节点时存在暴露于释放后重用远程代码执行漏洞攻击和崩溃的风险。
使用递归解析XML节点时,递归级别超过最大递归深度的问题。该问题导致应用程序在使用太多嵌入式节点分析XML数据时存在暴露于堆栈溢出漏洞攻击和崩溃的风险。
在执行submitForm函数时,应用程序存在任意文件写入漏洞的问题。攻击者可以利用该漏洞在本地系统创建任意文件并注入不受控制的内容。
受漏洞影响的Windows平台的福昕PDF阅读器为11.0.0.0.49893 及以前的版本,PDF编辑器为11.0.0.0.49893、 10.1.4.37651 及以前的版本。
Mac平台的该应用程序也受到了其中一些漏洞的影响。两个平台的应用程序都可采用以下方式更新版本以免受漏洞影响:
1、从福昕PDF阅读器或福昕PDF编辑器的”帮助”选项卡中,单击”检查更新”并更新到最新版本。
2、前往福昕官网下载应用程序的更新版本。
微信号:sansui663(长安复制)
本文由知识库于2022-01-07发表在龙哥云资源网,如有疑问,请联系我们。本文链接:https://www.longgeyun.com/knowledge/20808.html
上一篇java热部署原理(spring连接多个数据库)
下一篇声音增强器有什么用(目前双扬声器效果最好的手机)
高校最常见的食物中毒有哪些
急性肠胃炎与食物中毒怎么分辨
莫代尔面料和纯棉面料哪个好内裤 哪个儿童可以穿
为什么说开速腾的都不是一般人 速腾开出去有面子吗
活珠子和毛蛋的区别在哪里 哪个好吃
家里放石头的八大禁忌有哪些 家中石头最佳摆放位置
怎么判断自己帅还是丑男 男生怎样越长越帅
单身女生红绳戴左手还是右手 女生红绳戴哪里合适
Pr2020零基础快速入门
文字转语音App最新版3.0
APP下载页源码-带后台