服务器之家

服务器之家 > 正文

福昕阅读器漏洞可用于执行恶意代码

时间:2021-05-10 23:50     来源/作者:嘶吼网

福昕pdf阅读器是一款非常流行的PDF文件阅读器,有大量的用户。据福昕软件官网信息,福昕为全球200余国家的5.5亿用户提供高效专业安全的福昕PDF编辑器服务。近日,福昕阅读器修复了一个影响PDF阅读器的高危远程代码执行漏洞,攻击者利用该漏洞可以在用户的Windows计算机上执行恶意代码,甚至可以接管用户的计算机。

福昕阅读器漏洞可用于执行恶意代码

CVE-2021-21822

漏洞CVE编号为CVE-2021-21822,CVSS V3评分为8.8分。福昕阅读器中支持JavaScript来记性交互式文件和动态表单。但JS支持可能会带来额外的攻击风险,该漏洞就是福昕pdf阅读器使用的V8 JS引擎中的UAF漏洞。

该漏洞是由于福昕阅读器应用和浏览器扩展处理特定注释类型的方式引起的,攻击者可以利用精心构造的恶意PDF文件可以通过精确的内存控制运行任意代码触发该漏洞,导致任意代码执行。攻击者只需诱使用户打开恶意文件或打开启用了福昕pdf浏览器插件扩展的网站就可以触发该漏洞。

成功利用该UAF漏洞可能会引发运行有漏洞的软件的计算机的程序奔溃、数据破坏、任意代码执行等。

漏洞影响福昕pdf阅读器10.1.3.37598及之前版本,5月6日福昕在更新的10.1.4.37651版本中修复了该漏洞。

研究人员建议用户下载最新的Foxit Reader 10.1.4版本来修复该漏洞。

关于该漏洞的更多技术细节参见:https://talosintelligence.com/vulnerability_reports/TALOS-2021-1287

本文翻译自:https://www.bleepingcomputer.com/news/security/foxit-reader-bug-lets-attackers-run-malicious-code-via-pdfs/

相关文章

热门资讯

2020微信伤感网名听哭了 让对方看到心疼的伤感网名大全
2020微信伤感网名听哭了 让对方看到心疼的伤感网名大全 2019-12-26
yue是什么意思 网络流行语yue了是什么梗
yue是什么意思 网络流行语yue了是什么梗 2020-10-11
背刺什么意思 网络词语背刺是什么梗
背刺什么意思 网络词语背刺是什么梗 2020-05-22
苹果12mini价格表官网报价 iPhone12mini全版本价格汇总
苹果12mini价格表官网报价 iPhone12mini全版本价格汇总 2020-11-13
2021德云社封箱演出完整版 2021年德云社封箱演出在线看
2021德云社封箱演出完整版 2021年德云社封箱演出在线看 2021-03-15
返回顶部