平台: macOS
摘要
福昕软件于2024年12月20日发布福昕高级PDF编辑器Mac版2024.4/13.1.5和福昕阅读器Mac版2024.4。更新版本修复了潜在安全和稳定性问题。
受影响版本
| 产品 | 受影响版本 | 平台 |
| 福昕高级PDF编辑器Mac版 | 2024.3.0.65538及之前2024.x版本、 2023.x版本、13.1.4.62748及之前13.x版本、 12.1.6.55574及之前12.x版本、 11.1.10.1010及之前版本 | macOS |
| 福昕阅读器Mac版 | 2024.3.0.65538及之前版本 | macOS |
解决方案
请选择以下任意操作进行升级:
- (版本2023.2及以上用户)在福昕高级编辑器Mac版或福昕阅读器Mac版中,选择“帮助”菜单 >“关于
福昕高级PDF编辑器”或“关于福昕阅读器”>“检查更新”更新至最新版本。 - (版本13用户)在福昕高级编辑器Mac版中,选择“帮助”菜单 >“关于福昕高级PDF编辑器”>“检查
更新” 更新至最新版本。 - 点击这里下载最新版福昕阅读器Mac版。
- 点击这里下载最新版福昕高级PDF编辑器Mac版。
漏洞详情
| 提要 | 鸣谢 |
| 解决了在处理特定XFA文档时,因在解析图片资源过程中加载了所有来源(包括不信任的来源)的图片、在向外部HTTP服务器获取和发送内容前未能恰当提示用户进行确认,导致程序可能遭受不信任URL调用漏洞攻击的问题。攻击者可以利用该漏洞,通过在PDF文档中嵌入恶意图片或代码的方式,访问用户系统中的资源或在用户系统中执行恶意操作。 | Jörn Henkel |
| 解决了在处理特定已签署的XFA文档时,因在验证XFA文档时忽略了“/NeedsRendering”键值修改或“TextField”字段更新,导致程序可能显示错误签名验证结果的问题。攻击者可以利用该漏洞篡改文档内容、欺骗用户信任并处理被篡改的文档。 | Jörn Henkel |
| 解决了在处理含“app.openDoc”函数的特定XFA文档、在含有加密元素的特定XFA表单中提交表单数据时,因在执行“app.openDoc”函数时未能恰当提醒用户进行确认、忽略了加密元素并在未恰当提醒用户的情况下以明文传输表单内容,导致程序可能遭受信息泄露漏洞攻击的问题。攻击者可以利用该漏洞窃取文件系统或SMB服务器中的XFA数据或获取表单数据。 | Jörn Henkel |
如需了解更多详细信息,请联系福昕安全响应团队(邮箱:security-ml@foxit.com)。