Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Foxit Reader」にゼロデイ脆弱性2件 - 公表受けて方針転換、修正へ

PDFビューワーソフト「Foxit Reader」に、未修正の脆弱性2件が含まれていることがわかった。Foxit Softwareでは、当初脆弱性を修正しない方針だったが、脆弱性の公表を受け、修正に向けて準備を進めているという。

20170821_zd_001.jpg

トレンドマイクロ傘下のZero Day Initiative(ZDI)が公表したもの。

URLが正しいかチェックしておらず、細工したファイルやページを閲覧させることでリモートよりコードの実行が可能となるコマンドインジェクションの脆弱性「CVE-2017-10951」が存在。

またスタートアップフォルダに不正なファイルを書き込める「CVE-2017-10952」が含まれる。

脆弱性は、6月にZDIがFoxitへ報告したが、デフォルトで有効化されている「保護モード」を利用していれば影響を受けないとして、Foxitでは修正しない方針をZDIへ伝えていた。

(Security NEXT - 2017/08/21 ) このエントリーをはてなブックマークに追加

PR

関連記事

Adobe、「Acrobat/Reader」におけるPoC公開の脆弱性について訂正
同一PDFファイルに「Acrobat/Reader」と「Windows」のゼロデイ脆弱性 - 併用で高い攻撃力
「CISOハンドブック」が公開 - 経営視点に立った業務執行ノウハウを収録
中学生自殺問題の報告資料で墨塗り処理にミス - 神戸市
デスクトップ向け「Chrome」が更新 - サンドボックス回避など脆弱性4件を修正
「Firefox 60」がリリース、深刻な脆弱性2件などあわせて26件を修正
ALSI、シンプルに利用できるファイル暗号化製品
複数の教委公開文書で個人情報の墨塗り処理にミス - 大阪市
書き出しが「Appleをご利用いただきありがとうございますが、」のフィッシングメール
個人情報を誤ってサイトで公開、墨塗りミスなど - 三田市