平台: Windows
摘要
福昕软件于2024年12月20日发布福昕阅读器企业版2024.4和福昕高级PDF编辑器2024.4/13.1.5。更新版本修复了潜在安全和稳定性问题。
受影响版本
| 产品 | 受影响版本 | 平台 |
| 福昕阅读器企业版 | 2024.3.0.26795及之前版本 | Windows |
| 福昕高级PDF编辑器 | 2024.3.0.26795及之前2024.x版本 2023.x版本、13.1.4.23147及之前13.x版本、 12.1.8.15703及之前12.x版本、 11.2.11.54113及之前版本 | Windows |
解决方案
请选择以下任意操作进行升级:
- (版本2023.2及以上用户)在福昕高级PDF编辑器中,选择“帮助”菜单 >“关于福昕高级PDF编
辑器”>“检查更新”更新至最新版本。 - (版本13用户)在福昕高级PDF编辑器中,选择“帮助”菜单 >“关于福昕高级PDF编辑器”>“检
查更新”更新至最新版本。 - 联系福昕销售更新福昕阅读器企业版至最新版。
- 点击这里下载最新版福昕高级PDF编辑器。
漏洞详情
| 提要 | 鸣谢 |
| 解决了在处理特定XFA文档时,因在解析图片资源过程中加载了所有来源(包括不信任的来源)的图片、在向外部HTTP服务器获取和发送内容前未能恰当提示用户进行确认,导致程序可能遭受不信任URL调用漏洞攻击的问题。攻击者可以利用该漏洞,通过在PDF文档中嵌入恶意图片或代码的方式,访问用户系统中的资源或在用户系统中执行恶意操作。 | Jörn Henkel |
| 解决了在处理特定已签署的XFA文档时,因在验证XFA文档时忽略了“/NeedsRendering”键值修改或“TextField”字段更新,导致程序可能显示错误签名验证结果的问题。攻击者可以利用该漏洞篡改文档内容、欺骗用户信任并处理被篡改的文档。 | Jörn Henkel |
| 解决了在处理含“app.openDoc”函数的特定XFA文档、含“LaunchAction”函数的特定PDF文档、在含有加密元素的特定XFA表单中提交表单数据时,因在执行“app.openDoc”/ “LaunchAction”函数时未能恰当提醒用户进行确认、忽略了加密元素并在未恰当提醒用户的情况下以明文传输表单内容,导致程序可能遭受信息泄露漏洞攻击的问题。攻击者可以利用该漏洞窃取文件系统或SMB服务器中的XFA数据、获取NTLM信息或表单数据。 | Jörn Henkel EXPMON成员Haifei Li |
| 解决了在处理特定AcroForm、复选框对象或3D页面对象时,因未经恰当验证使用了野指针或空指针,导致程序可能遭受释放后使用漏洞攻击的问题。攻击者可以利用该漏洞执行远程代码。(CVE-2024-12751、CVE-2024-12752、CVE-2024-49576、CVE-2024-47810) | Trend Micro Zero Day Initiative成员Mat Powell Cisco Talos成员KPC |
| 解决了因在加载eputil.dll时未指定安全搜索路径,导致程序可能遭受DLL劫持漏洞攻击的问题。攻击者可以利用该漏洞执行恶意操作。 | Kim Dong Yeop (kdy) |
| 解决了在更新程序或安装插件时,因缺乏恰当的验证,导致程序可能遭受特权升级漏洞攻击的问题。攻击者可以利用该漏洞,通过加载恶意DLL、调用旧版本更新程序或创建链接并以完全权限写入任意文件的方式,在SYSTEM上下文中执行任意代码。(CVE-2024-12753) | 匿名人员与Trend Micro Zero Day Initiative GAI NetConsult GmbH成员Sascha Meyer
|
如需了解更多详细信息,请联系福昕安全响应团队(邮箱:security-ml@foxit.com)。