福昕PDF阅读器、编辑器中存在多个安全漏洞

Foxit Software 本周发布了其 PDF 阅读器和 PDF 编辑器应用程序的安全更新，以解决多个漏洞，包括一些导致远程代码执行的漏洞。

福昕解决的三个漏洞由 Cisco Talos 研究人员确定，所有三个漏洞都导致任意代码执行。

这些漏洞被跟踪为 CVE-2021-21831、CVE-2021-21870 和 CVE-2021-21893，其 CVSS 严重性评分为 8.8。由于处理某些 JavaScript 代码或注释对象的方式，恶意制作的 PDF 文件可能会导致重复使用以前空闲的内存和任意代码执行。

这三个缺陷都是 PDF Reader 的 JavaScript 引擎中的释放后使用漏洞，攻击者可以通过欺骗目标打开恶意 PDF 文件来利用该漏洞。根据Cisco Talos 的公告，只要受害者启用了 Foxit 的浏览器插件，该漏洞也可以通过恶意网站利用。

Foxit 还解决了应用程序处理某些 PDF 文件中的注释对象的方式中的多个释放后使用漏洞，“如果在不同页面的页面结构中引用了相同的注释字典。”

Foxit 解释说，当 Annotation 字典有多个关联的注释对象并且可能导致远程代码执行时，就会出现漏洞。

更新涉及的另一个安全问题是在遍历某些 PDF 文件中的书签节点时使用后免费，这也可能导致远程执行代码。

Foxit 还解决了与解析具有过多嵌入节点的 XML 数据、执行 submitForm 函数或解析特制 PDF 文件相关的潜在安全问题。

还发现其中一些漏洞会影响 Foxit 应用程序的 macOS 版本，并且还为它们发布了补丁。

原文来自: securityweek.com