Foxit pdf Reader爆出2個0Day 官方拒絕發更新檔

由于官方拒絕提供更新檔，專家給出兩個建議，1不要打開任何來源不明的pdf文檔；2 安全閱讀模式要保持打開狀态。綠盟科技釋出《 foxit pdf reader 0day 漏洞安全威脅通告 》，通告全文如下：

最近，安全研究人員在foxit pdf reader發現兩個嚴重的安全漏洞，漏洞編号分别為cve-2017-10951和cve-2017-10952。

cve-2017-10951     該漏洞是一個指令注入的漏洞，原因是由于app.launchurl函數缺少恰當的驗證會執行攻擊者提供的字元串。 

cve-2017-10952     該漏洞是任意檔案寫漏洞，能讓攻擊者在目标系統寫入任意檔案，攻擊者可以利用該漏洞擷取代碼執行能力。

這兩個漏洞都能導緻任意代碼執行，不過foxit公司拒絕對這兩個漏洞提供更新檔，因為foxit pdf reader的安全閱讀模式是預設開啟的，漏洞不會對預設設定的foxit pdf reader造成影響。不過未來如果攻擊者找到繞過安全閱讀模式的方法，以上漏洞可能被大規模利用。

相關位址：

<a href="http://thehackernews.com/2017/08/two-critical-zero-day-flaws-disclosed.html">http://thehackernews.com/2017/08/two-critical-zero-day-flaws-disclosed.html</a> https://www.zerodayinitiative.com/blog/2017/8/17/busting-myths-in-foxit-reader

foxit pdf reader

不要打開任何來源不明的pdf文檔；

foxit pdf reader 的安全閱讀模式要保持打開狀态。

本安全公告僅用來描述可能存在的安全問題，綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的資訊而造成的任何直接或者間接的後果及損失，均由使用者本人負責，綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告，必須保證此安全公告的完整性，包括版權聲明等全部内容。未經綠盟科技允許，不得任意修改或者增減此安全公告内容，不得以任何方式将其用于商業目的。

原文釋出時間：2017年8月18日

本文由：綠盟科技釋出，版權歸屬于原作者

原文連結:http://toutiao.secjia.com/foxit-pdf-reader-2-0day

本文來自雲栖社群合作夥伴安全加，了解相關資訊可以關注安全加網站