Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Foxit Reader」にゼロデイ脆弱性2件 - 公表受けて方針転換、修正へ

PDFビューワーソフト「Foxit Reader」に、未修正の脆弱性2件が含まれていることがわかった。Foxit Softwareでは、当初脆弱性を修正しない方針だったが、脆弱性の公表を受け、修正に向けて準備を進めているという。

20170821_zd_001.jpg

トレンドマイクロ傘下のZero Day Initiative(ZDI)が公表したもの。

URLが正しいかチェックしておらず、細工したファイルやページを閲覧させることでリモートよりコードの実行が可能となるコマンドインジェクションの脆弱性「CVE-2017-10951」が存在。

またスタートアップフォルダに不正なファイルを書き込める「CVE-2017-10952」が含まれる。

脆弱性は、6月にZDIがFoxitへ報告したが、デフォルトで有効化されている「保護モード」を利用していれば影響を受けないとして、Foxitでは修正しない方針をZDIへ伝えていた。

(Security NEXT - 2017/08/21 ) このエントリーをはてなブックマークに追加

PR

関連記事

成績通知書ファイルを学生にメール誤送信 - 別府大
画像管理サーバがランサム被害、救急や一般外来受入に影響 - 国分生協病院
「Ghostscript」旧版に「クリティカル」とされる脆弱性
開示文書の墨塗り処理に不備、個人情報など参照可能 - 埼玉県
「MS Edge」にセキュリティアップデート - 独自含む5件の脆弱性を解消
悪意あるファイル、1日あたり約41万件 - 前年比3%増
特定保健指導の参加者情報が外部流出 - 伊丹市
保健指導関連の個人情報がノーウェアランサム被害 - 千葉市
「サポート詐欺」の被害が増加中 - 疑似体験で被害予防を
「Firefox 121」をリリース - 脆弱性18件を解消