福昕阅读器漏洞可用于执行恶意代码

福昕pdf阅读器是一款非常流行的PDF文件阅读器，有大量的用户。据福昕软件官网信息，福昕为全球200余国家的5.5亿用户提供高效专业安全的福昕PDF编辑器服务。近日，福昕阅读器修复了一个影响PDF阅读器的高危远程代码执行漏洞，攻击者利用该漏洞可以在用户的Windows计算机上执行恶意代码，甚至可以接管用户的计算机。

创新互联专注于企业成都全网营销推广、网站重做改版、舒城网站定制设计、自适应品牌网站建设、H5场景定制、成都商城网站开发、集团公司官网建设、成都外贸网站建设、高端网站制作、响应式网页设计等建站业务，价格优惠性价比高，为舒城等各大城市提供网站开发制作服务。

CVE-2021-21822

漏洞CVE编号为CVE-2021-21822，CVSS V3评分为8.8分。福昕阅读器中支持JavaScript来记性交互式文件和动态表单。但JS支持可能会带来额外的攻击风险，该漏洞就是福昕pdf阅读器使用的V8 JS引擎中的UAF漏洞。

该漏洞是由于福昕阅读器应用和浏览器扩展处理特定注释类型的方式引起的，攻击者可以利用精心构造的恶意PDF文件可以通过精确的内存控制运行任意代码触发该漏洞，导致任意代码执行。攻击者只需诱使用户打开恶意文件或打开启用了福昕pdf浏览器插件扩展的网站就可以触发该漏洞。

成功利用该UAF漏洞可能会引发运行有漏洞的软件的计算机的程序奔溃、数据破坏、任意代码执行等。

漏洞影响福昕pdf阅读器10.1.3.37598及之前版本，5月6日福昕在更新的10.1.4.37651版本中修复了该漏洞。

研究人员建议用户下载最新的Foxit Reader 10.1.4版本来修复该漏洞。

关于该漏洞的更多技术细节参见：https://talosintelligence.com/vulnerability_reports/TALOS-2021-1287

本文翻译自：

https://www.bleepingcomputer.com/news/security/foxit-reader-bug-lets-attackers-run-malicious-code-via-pdfs/

网页名称：福昕阅读器漏洞可用于执行恶意代码
转载注明：http://www.csdahua.cn/qtweb/news29/151579.html

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 快上网