福昕软件曝出大量高危漏洞
近日,福昕软件(Foxit Reader)旗下的 Foxit Reader 和 PhantomPDF 等流行 PDF 工具先后曝出高危的远程代码执行漏洞。
据悉,福昕软件已经发布了补丁,修补了 Windows 版 Foxit Reader 和 Foxit PhantomPDF (版本 9.7.1.29511 及更早版本)中与 20 个 CVE 相关的严重漏洞,其中一些漏洞使远程攻击者可以在易受攻击的系统上执行任意代码。
Foxit Reader 是流行的 PDF 软件,其免费版本的用户群超过 5 亿,它提供了用于创建、签名和保护 PDF 文件的工具。同时,PhantomPDF 使用户可以将不同的文件格式转换为 PDF。除了数以百万计的品牌软件用户外,亚马逊、谷歌和微软等大型公司还许可福昕软件技术,从而进一步扩大了攻击面。
根据趋势科技 ZDI 漏洞分析,在针对这些漏洞的攻击情形中, “需要用户交互才能利用此漏洞,因为目标必须访问恶意页面或打开恶意文件” 。
部分漏洞信息如下:
XFA 模板的处理中存在漏洞(CVE-2020-10899,CVE-2020-10907),该模板是嵌入 PDF 的模板,允许填充字段。这两个问题都是由于在对对象执行操作之前缺少对象验证机制。攻击者可以利用这两个缺陷在当前进程的上下文中执行代码。研究人员还发现 AcroForms 的处理方式存在 RCE 漏洞(CVE-2020-10900)。AcroForms 是包含表单字段的 PDF 文件。之所以存在该错误,是因为 AcroForms 在对该对象执行操作之前没有验证该对象的存在。
在 Foxit Reader PDF 中的 resetForm 方法中存在另一个漏洞(CVE-2020-10906),同样是因为在对对象执行操作之前不会检查对象,从而使该过程容易受到 RCE 攻击。
此外,PhantomPDF 也修补了一些高危漏洞,这些漏洞影响了 9.7.1.29511 版及更早版本。强烈建议用户立刻更新到 PhantomPDF 版本 9.7.2。最严重的是 PhantomPDF 的 API 通信中的两个漏洞(CVE-2020-10890 和 CVE-2020-10892)。从其他文档类型创建 PDF 时,必须使用 PhantomPDF API 调用。这些漏洞源自对 ConvertToPDF 命令和 CombineFiles 命令的处理,这允许使用攻击者控制的数据写入任意文件。
CVE-2020-10890 和 CVE-2020-10892 尤为值得关注,因为它们相对容易被利用。
参考资料
福昕软件安全公告牌:
https://www.foxitsoftware.com/support/security-bulletins.php