漏洞性质 – 允许未使用“安全阅读模式”的用户通过执行某些强大的JavaScript函数,带来潜在安全问题。“安全阅读模式”在福昕高级PDF编辑器和福昕阅读器中为默认开启,但用户也可在偏好设置中将其关闭。
解决该问题的方案 – 在福昕高级PDF编辑器/福昕阅读器的代码中添加一层保护,即打开一个包含强大的(因而具有安全隐患的)JavaScript函数的PDF文档时,应用程序会检测该文档是否由一个可验证/可信任的个人或实体进行过数字签名。只有已验证的文档,才可运行这些高级的JS函数,即使“安全阅读模式”处于关闭状态。
修复完成的时间 – 我们计划在8月30日发布福昕高级PDF编辑器8.3.2中文版补丁包,在9月5日发布福昕阅读器8.3.2中文补丁包,通过添加保护层避免黑客滥用强大的(且具有安全隐患的)JavaScript函数 — 福昕软件与Adobe的做法等同。
受影响的产品和用户– 该漏洞由某些用户(潜在黑客)通过滥用强大的(且具有安全隐患的)JavaScript函数造成。仅那些关闭了福昕高级PDF编辑器和福昕阅读器“安全阅读模式”导致在任一PDF文档中都可执行JavaScript函数的用户,会受到此漏洞的影响。
使用其他福昕产品的用户均不受影响。对于所有福昕高级PDF编辑器和福昕阅读器的用户,我们建议在验证文档来源之前,请禁止执行JavaScript函数。只要用户继续保持开启“安全阅读模式”,就不会受到影响。
如何检查和重新开启福昕高级PDF编辑器和福昕阅读器的“安全阅读模式”
福昕高级PDF编辑器和福昕阅读器的个人用户,请到“偏好设置”>“信任管理器”中进行设置,如图所示。
希望通过Windows注册表配置的用户,请按下图所示的注册表进行设置。
需要进行批量配置的IT或系统管理员,请使用GPO模板:
下载GPO模板:
Reader:
https://cdn07.foxitsoftware.cn/pub/foxit/GPO/chs/FoxitReader820_chs_adm.zip
https://cdn07.foxitsoftware.cn/pub/foxit/GPO/chs/FoxitReader820_chs_admx.zip
Phantom:
https://cdn07.foxitsoftware.cn/pub/foxit/GPO/chs/FoxitPhantomPDF82_chs_adm.zip
https://cdn07.foxitsoftware.cn/pub/foxit/GPO/chs/FoxitPhantomPDF82_chs_admx.zip