聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Foxit 向用户提供了大量功能,包括通过 JavaScript来支持多媒体文档和多种格式,但这样做同时扩大了攻击面。
本周,思科Talso安全研究员公开了Foxit 阅读器JavaScript 引擎中的四个漏洞,它们可用于实现任意代码执行。这些漏洞是CVE-2022-32774、CVE-2022-38097、CVE-2022-37332和CVE-2022-40129,CVSS评分均为8.8分且均为释放后使用漏洞。
思科解释称,“特殊构造的PDF文件可触发复用之前释放的内存,从而导致任意代码执行。”攻击者需要诱骗用户打开恶意文件才能利用这些漏洞。思科表示,如果启用了Foxit浏览器插件扩展,则用户导航至恶意网站时即可被触发。
思科在今年9月份将漏洞告知 Foxit。本周,Foxit 发布版本12.0.1.12430解决了这些问题。建议用户尽快更新至最新版本。
https://www.securityweek.com/foxit-patches-several-code-execution-vulnerabilities-pdf-reader
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):Foxit 修复PDF阅读器中的多个代码执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论