「Foxit Reader」にゼロデイ脆弱性2件 - 公表受けて方針転換、修正へ
PDFビューワーソフト「Foxit Reader」に、未修正の脆弱性2件が含まれていることがわかった。Foxit Softwareでは、当初脆弱性を修正しない方針だったが、脆弱性の公表を受け、修正に向けて準備を進めているという。
トレンドマイクロ傘下のZero Day Initiative(ZDI)が公表したもの。
URLが正しいかチェックしておらず、細工したファイルやページを閲覧させることでリモートよりコードの実行が可能となるコマンドインジェクションの脆弱性「CVE-2017-10951」が存在。
またスタートアップフォルダに不正なファイルを書き込める「CVE-2017-10952」が含まれる。
脆弱性は、6月にZDIがFoxitへ報告したが、デフォルトで有効化されている「保護モード」を利用していれば影響を受けないとして、Foxitでは修正しない方針をZDIへ伝えていた。
(Security NEXT - 2017/08/21 )
ツイート
PR
関連記事
米当局、脆弱性悪用確認リストに7件追加 - IEなど旧製品関連も
内閣府サイト掲載のNPO法人役員名簿で墨塗り処理に不備 - 栃木県
WPS Office旧脆弱性、2020年以降の製品などにも影響
開示文書の墨塗り個人情報、出力ミスで参照可能に - 北九州市
「Firefox 150」を公開 - 41件の脆弱性を修正
「Chrome」が脆弱性31件を修正 - 5件は「クリティカル」
総務省の行政不服審査DB掲載裁決書に個人情報 - 沖縄県
PDFに変換し忘れ、意図しない個人情報を誤送信 - 仙台市小学校
「MS Edge」にセキュリティ更新 - KEV登録済みゼロデイ脆弱性を修正
「情報セキュリティ10大脅威2026」組織編の解説プレゼン資料を公開
