Foxit vá lỗ hổng trên phần mềm PDF

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi Ginny Hà, 15/10/20, 09:10 PM.

  1. Ginny Hà

    Ginny Hà WhiteHat Support

    Tham gia: 04/06/14, 02:06 PM
    Bài viết: 563
    Đã được thích: 79
    Điểm thành tích:
    48
    Nhà phát triển phần mềm PDF Foxit vừa phát hành bản vá khắc phục một số lỗ hổng nguy cơ cao ảnh hưởng đến ứng dụng trên cả Windows và macOS.

    Foxit cho phép người dùng tạo và chỉnh sửa các file PDF, cũng như bảo mật chúng khi cần thiết. Hãng cũng cung cấp các sản phẩm theo mô hình cấp phép miễn phí.
    1.png

    Tuần trước, Foxit phát hành bản cập nhật an ninh cho cả Foxit PhantomPDF Mac và Foxit Reader Mac, khắc phục lỗ hổng cho phép chèn mã hoặc rò rỉ thông tin. Hãng cho biết, vấn đề bắt nguồn từ việc hardened runtime không được kích hoạt trong quá trình ký mã.

    Lỗ hổng ảnh hưởng tới Foxit PhantomPDF Mac phiên bản 4.0.0.0430 trở về trước và Foxit Reader Mac phiên bản 4.0.0.0430 trở về trước. Các phiên bản phần mềm 4.1 đã được khắc phục lỗi.

    Trước khi cập nhật ứng dụng trên macOS, Foxit đã phát hành bản vá cho Foxit Reader và Foxit PhantomPDF trên Windows, khắc phục các vấn đề bao gồm cả use-after-free (sử dụng sau khi đã giải phóng), out-of-bounds write (truy cập vào vùng ngoài biên) và vi phạm quyền truy cập dẫn đến thực thi mã từ xa hoặc leo thang đặc quyền.

    Một số lỗi này có thể được kích hoạt thông qua thực thi JavaScript trong các AcroForm, mở các tệp PDF độc hại hoặc phân tích một số hình ảnh JPEG2000. Các lỗi khác xảy ra trong quá trình cài đặt hoặc là kết quả của việc xác nhận hoặc xử lý không đúng các tài nguyên.

    Trong số các lỗ hổng vừa được Foxit khắc phục, 4 lỗ hổng được xếp hạng mức độ nghiêm trọng cao 7.5/10, gồm CVE-2020-26534, CVE-2020-26539, CVE-2020-26537 và CVE-2020-26535. Hai lỗi mức trung bình gồm CVE-2020-26540 và CVE-2020-26538.

    Các lỗi trên Foxit Reader và Foxit PhantomPDF 10.0.1.35811 trở về trước được khắc phục trên phiên bản 10.1.

    Theo SecurityWeek
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan