福昕阅读器漏洞可用于执行恶意代码
番茄系统家园 · 2022-06-09 08:16:47
CVE-2021-21822
漏洞CVE编号为CVE-2021-21822,CVSSV3评分为8.8分。福昕阅读器中支持JavaScript来记性交互式文件和动态表单。但JS支持可能会带来额外的攻击风险,该漏洞就是福昕pdf阅读器使用的V8JS引擎中的UAF漏洞。
该漏洞是由于福昕阅读器应用和浏览器扩展处理特定注释类型的方式引起的,攻击者可以利用精心构造的恶意PDF文件可以通过精确的内存控制运行任意代码触发该漏洞,导致任意代码执行。攻击者只需诱使用户打开恶意文件或打开启用了福昕pdf浏览器插件扩展的网站就可以触发该漏洞。
成功利用该UAF漏洞可能会引发运行有漏洞的软件的计算机的程序奔溃、数据破坏、任意代码执行等。
漏洞影响福昕pdf阅读器10.1.3.37598及之前版本,5月6日福昕在更新的10.1.4.37651版本中修复了该漏洞。
研究人员建议用户下载最新的Foxit Reader 10.1.4版本来修复该漏洞。
关于该漏洞的更多技术细节参见:https://talosintelligence.com/vulnerability_reports/TALOS-2021-1287
本文翻译自:
https://www.bleepingcomputer.com/news/security/foxit-reader-bug-lets-attackers-run-malicious-code-via-pdfs/
鸿蒙官方战略合作共建——HarmonyOS技术社区
免责声明: 凡标注转载/编译字样内容并非本站原创,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如果你觉得本文好,欢迎推荐给朋友阅读;本文链接: https://m.nndssk.com/dngz/330098ASx9cj.html。猜你喜欢
最新应用
热门应用
