福昕軟件曝出大量高危漏洞
責編:gltian |2020-04-23 13:39:29近日,福昕軟件(Foxit Reader)旗下的Foxit Reader和PhantomPDF等流行PDF工具先后曝出高危的遠程代碼執行漏洞。
據悉,福昕軟件已經發布了補丁,修補了Windows版Foxit Reader和Foxit PhantomPDF(版本9.7.1.29511及更早版本)中與20個CVE相關的嚴重漏洞,其中一些漏洞使遠程攻擊者可以在易受攻擊的系統上執行任意代碼。
Foxit Reader是流行的PDF軟件,其免費版本的用戶群超過5億,它提供了用于創建,簽名和保護PDF文件的工具。同時,PhantomPDF使用戶可以將不同的文件格式轉換為PDF。除了數以百萬計的品牌軟件用戶外,亞馬遜,谷歌和微軟等大型公司還許可福昕軟件技術,從而進一步擴大了攻擊面。
根據趨勢科技ZDI 漏洞分析,在針對這些漏洞的攻擊情形中,“需要用戶交互才能利用此漏洞,因為目標必須訪問惡意頁面或打開惡意文件” 。
部分漏洞信息如下:
XFA模板的處理中存在漏洞(CVE-2020-10899, CVE-2020-10907),該模板是嵌入PDF的模板,允許填充字段。這兩個問題都是由于在對對象執行操作之前缺少對象驗證機制。攻擊者可以利用這兩個缺陷在當前進程的上下文中執行代碼。研究人員還發現AcroForms的處理方式存在RCE漏洞(CVE-2020-10900)。AcroForms是包含表單字段的PDF文件。之所以存在該錯誤,是因為AcroForms在對該對象執行操作之前沒有驗證該對象的存在。
在Foxit Reader PDF中的resetForm方法中存在另一個漏洞(CVE-2020-10906),同樣是因為在對對象執行操作之前不會檢查對象,從而使該過程容易受到RCE攻擊。
此外,PhantomPDF也修補了一些高危漏洞,這些漏洞影響了9.7.1.29511版及更早版本。 強烈建議用戶立刻更新到PhantomPDF版本9.7.2。最嚴重的是PhantomPDF的API通信中的兩個漏洞(CVE-2020-10890? 和? CVE-2020-10892)。從其他文檔類型創建PDF時,必須使用PhantomPDF API調用。這些漏洞源自對ConvertToPDF命令和CombineFiles命令的處理,這允許使用攻擊者控制的數據寫入任意文件
CVE-2020-10890和CVE-2020-10892尤為值得關注,因為它們相對容易被利用。
參考鏈接:
福昕軟件安全公告牌:
https://www.foxitsoftware.com/support/security-bulletins.php