Foxit多个高危漏洞通告
Foxit多个高危漏洞通告
360-CERT [360CERT](javascript:void(0)???? 今天
0x00 漏洞背景
2020年04月22日,360CERT监测到Foxit官方于2020年04月16日发布了多个Foxit Reader高危漏洞的安全更新。
Foxit Reader是流行的PDF软件,其免费版本的用户群超过5亿,它提供了用于创建、签名和保护PDF文件的工具。同时,PhantomPDF使用户可以将不同的文件格式转换为PDF。除了数以百万计的品牌软件用户外,亚马逊、谷歌和微软等大型公司还许可福昕软件技术。
此次安全更新发布了36个漏洞补丁,涵盖了Foxit Reader、Foxit PhantomPDF两个产品及其3D插件。其中包括了多个高危漏洞可在用户交互的情况下完成远程代码执行。
对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。
0x01 风险等级
360CERT对该事件的评定结果如下
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 高危 |
| 影响面 | 广泛 |
0x02 漏洞详情
CVE-2020-10899|CVE-2020-10907:XFA模板 UAF代码执行漏洞
XFA模板是嵌入PDF的模板,且允许填充字段。XFA模板对对象执行操作前没有对对象进行存在性验证,攻击者可以利用该缺陷在当前进程的上下文中执行代码。
CVE-2020-10900:AcoreForms UAF代码执行漏洞
AcoreForms是包含表单字段的PDF文件。AcoreForms在对对象执行操作前没有验证对象是否存在,攻击者可以利用该缺陷执行代码。
CVE-2020-10906:restForm UAF代码执行漏洞
Foxit Reader PDF restForm方法在对象执行前未对对象进行检查,导致处理过程中存在远程代码执行风险。
CVE-2020-10890|CVE-2020-10892: PhantomPDF ConvertToPDF任意文件写入远程执行代码漏洞
PhantomPDF的通信API中存在缺陷,当用户完成交互触发ConvertToPDF命令时,该命令允许将攻击者控制的数据写入任意文件,攻击者可以通过该漏洞在当前进程的上下文中执行代码。
CVE-2020-10912: PhantomPDF SetFieldValue类型混淆远程代码执行漏洞
PhantomPDF通信API的SetFieldValue命令的处理中存在缺陷,其未校验用户传入数据的正确性,这可能导致类型混乱,攻击者可以通过该漏洞在当前进程的上下文中执行代码。
0x03 影响版本
-
Foxit Reader:
9.7.1.29511及以前的版本
-
Foxit PhantomPDF:
9.7.1.29511及以前的版本
0x04 修复建议
通用修补建议:
360CERT建议通过安装 360安全卫士 进行一键更新。
手动升级方案
-
在Foxit Reader或Foxit PhantomPDF的“帮助”选项卡中,单击“检查更新”并更新为最新版本。
-
从官方网站下载最新的Foxit Reader或Foxit PhantomPDF替换旧版本应用。
https://www.foxitsoftware.com/downloads/
0x05 产品侧解决方案
360安全卫士
针对本次安全更新,Windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。
0x06 时间线
2020-04-16 Foxit官方发布安全预警
2020-04-22 360CERT发布漏洞通告
0x07 参考链接
- Foxit官方安全通告 [https://www.foxitsoftware.com/support/security-bulletins.php]
- threatpost安全漏洞通告 [https://threatpost.com/foxit-pdf-reader-phantompdf-remote-code-execution/154942/]
推荐阅读:
3、CVE-2020-8835: Linux Kernel 信息泄漏/权限提升漏洞分析
转载自https://mp.weixin.qq.com/s/RzjYBiwJrGOOyLSsh8O3Yg