平台: Windows
摘要
福昕软件于2024年10月23日发布福昕高级PDF编辑器12.1.8。更新版本修复了潜在安全和稳定性问题。
受影响版本
| 产品 | 受影响版本 | 平台 |
| 福昕高级PDF编辑器 | 12.1.7.15526及之前12.x版本、 11.2.10.53951及之前版本 | Windows |
解决方案
请选择以下任意操作进行升级:
- 在福昕高级PDF编辑器中,选择“帮助”菜单 >“关于福昕高级PDF编辑器”>“检查更新”
(版本10及之前的用户,请选择“帮助”菜单 >“检查更新”)更新至最新版本。 - 点击这里下载最新版福昕高级PDF编辑器。
漏洞详情
| 提要 | 鸣谢 |
| 解决了在处理特定复选框表单域对象、Doc对象、注释对象或AcroForm时,因未经恰当验证使用了野指针或已释放的对象、使用JavaScript操作注释的回复备注时未能恰当同步注释项、删除页面后未能正确更新字体缓存,导致程序可能遭受释放后使用漏洞攻击并产生崩溃的问题。攻击者可以利用该漏洞执行远程代码或泄露信息。(CVE-2024-28888、CVE-2024-7722、CVE-2024-7723、CVE-2024-7724、CVE-2024-7725、CVE-2024-9243、CVE-2024-9246、CVE-2024-9250、CVE-2024-9252、CVE-2024-9253、CVE-2024-9251、CVE-2024-9254、CVE-2024-9255、CVE-2024-9256) | Cisco Talos成员KPC 匿名人员与Trend Micro Zero Day Initiative Trend Micro Zero Day Initiative成员Mat Powell |
| 解决了在执行程序更新或安装插件时,因更新服务使用的资源权限分配不恰当、更新程序签名验证不合理、更新程序证书验证不完整、插件安装过程中临时文件夹名称的随机性设置较弱、未使用内置清单文件的情况下DLL加载不正确,导致程序可能遭受特权升级漏洞攻击的问题。攻击者可以利用该漏洞删除任意文件或执行任意代码,从而进行特权升级攻击。(CVE-2024-9245、CVE-2024-9244、CVE-2024-38393) | Patrick Nassef Henry (@Patrick0x41)与Trend Micro Zero Day Initiative EthicalChaos与Trend Micro Zero Day Chaitin Security Research Lab成员Aobo Wang KAIST Hacking Lab成员Dong-uk Kim (@justlikebono) GAI NetConsult GmbH成员Sascha Meyer 复旦大学系统安全实验室向柏澄 |
| 解决了在解析特定PDF文件或处理特定注释对象时,因越界读写数据,导致程序可能遭受越界读/写漏洞攻击并产生崩溃的问题。攻击者可以利用该漏洞执行远程代码。(CVE-2024-9247、CVE-2024-9249、CVE-2024-9248) | 匿名人员与with Trend Micro Zero Day Initiative |
| 解决了在执行程序更新时,因在运行更新服务时未能恰当验证更新程序的完整性,导致程序可能遭受侧加载漏洞攻击的问题。攻击者可以利用该漏洞通过将更新文件替换成恶意文件的方式运行恶意载荷。(CVE-2024-41605) | Jukka Juntunen / Hypervisio Oy |
| 解决了在滚动浏览含有异常StructTreeRoot字典项的特定PDF文件时,因未经恰当验证使用了空指针,导致程序可能遭受空指针解引用漏洞攻击并产生崩溃的问题。攻击者可以利用该漏洞实施拒绝服务攻击。 | EXPMON成员Haifei Li |
解决了在特定使用场景下信息加密处理不完整的问题。 该问题在以下条件下出现:
1)使用以下受影响的版本: a. 福昕高级PDF编辑器Windows版:版本13.0-13.1.2和版本2023.2-2024.2.2; b. 福昕高级PDF编辑器Mac版:版本2024.1、2024.2、2024.2.1、2024.2.2;
|
如需了解更多详细信息,请联系福昕安全响应团队(邮箱:security-ml@foxit.com)。