福昕釋出安全更新，PDF軟體存在多個漏洞

作者：左右裡

編輯：釉子

相信經常與PDF打交道的人都不會對福昕感到陌生，一家在國內起家國外走紅的國產廠商，該公司旗下的PDF閱讀器和PDF編輯器在全球擁有6.5億使用者。

本週二，福昕釋出了PDF閱讀器和編輯器的安全更新，以解決包括遠端程式碼執行在內的多個漏洞。

 

這些漏洞是Cisco Talos的研究人員發現的，編號為CVE-2021-21831、CVE-2021-21870 和CVE-2021-21893，CVSS嚴重性評分達到了8.8。

 

這些漏洞都是福昕PDF應用程式的JavaScript引擎中的釋放後重用漏洞。應用程式在處理某些JavaScript程式碼或註釋物件時，存在暴露於遠端程式碼執行漏洞攻擊的風險。

攻擊者可以利用此漏洞製作惡意的PDF檔案，誘騙目標開啟，從而執行任意程式碼。根據Cisco Talos研究人員的說法，如果受害者啟用了福昕的瀏覽器外掛，該漏洞也可以通過惡意網站進行利用。

 

此外，福昕也解決了應用程式存在的一些其他問題，如：

未能正確處理迴圈條件，由無限迴圈導致的堆疊溢位問題。該問題導致了應用程式在遍歷PDF檔案的書籤節點時存在暴露於釋放後重用遠端程式碼執行漏洞攻擊和崩潰的風險。

使用遞迴解析XML節點時，遞迴級別超過最大遞迴深度的問題。該問題導致應用程式在使用太多嵌入式節點分析XML資料時存在暴露於堆疊溢位漏洞攻擊和崩潰的風險。

在執行submitForm函式時，應用程式存在任意檔案寫入漏洞的問題。攻擊者可以利用該漏洞在本地系統建立任意檔案並注入不受控制的內容。

 

受漏洞影響的Windows平臺的福昕PDF閱讀器為11.0.0.0.49893 及以前的版本，PDF編輯器為11.0.0.0.49893、 10.1.4.37651 及以前的版本。

 

Mac平臺的該應用程式也受到了其中一些漏洞的影響。兩個平臺的應用程式都可採用以下方式更新版本以免受漏洞影響：

1、從福昕PDF閱讀器或福昕PDF編輯器的"幫助"選項卡中，單擊"檢查更新"並更新到最新版本。

2、前往福昕官網下載應用程式的更新版本。

推薦文章++++

* 明確規範人臉識別！最高人民法院釋出司法解釋

* 網際網路專項整治行動已啟動！聚焦彈窗欺騙等熱點難點問題

* 日美歐眾多網站癱瘓，緣於阿卡邁系統故障

* 開發微信搶紅包軟體被罰475萬！

* 谷歌詳細披露4個0day漏洞！已有黑客正在利用

* 微軟7月累積更新來了！修復13個高危漏洞

* 又一非法採集人臉資訊企業被查處！人臉資訊保護刻不容緩

﹀

﹀

﹀

公眾號ID：ikanxue

官方微博：看雪安全

商務合作：wsc@kanxue.com