「Foxit Reader」にゼロデイ脆弱性2件 - 公表受けて方針転換、修正へ
PDFビューワーソフト「Foxit Reader」に、未修正の脆弱性2件が含まれていることがわかった。Foxit Softwareでは、当初脆弱性を修正しない方針だったが、脆弱性の公表を受け、修正に向けて準備を進めているという。

トレンドマイクロ傘下のZero Day Initiative(ZDI)が公表したもの。
URLが正しいかチェックしておらず、細工したファイルやページを閲覧させることでリモートよりコードの実行が可能となるコマンドインジェクションの脆弱性「CVE-2017-10951」が存在。
またスタートアップフォルダに不正なファイルを書き込める「CVE-2017-10952」が含まれる。
脆弱性は、6月にZDIがFoxitへ報告したが、デフォルトで有効化されている「保護モード」を利用していれば影響を受けないとして、Foxitでは修正しない方針をZDIへ伝えていた。
(Security NEXT - 2017/08/21 )
ツイート
PR
関連記事
「Splunk Enterprise」にアップデート - 「クリティカル」脆弱性など解消
「Firefox」にアップデート - 脆弱性40件を修正
「Chrome」にセキュ更新、脆弱性74件を修正 - 一部で悪用も
「Chrome」最新版で脆弱性429件を修正 - クリティカルは22件
JPRS、ドメインやDNSを学べるマンガ冊子を教育機関へ無償配布
公開報告書に個人情報、マスキング処理に不備 - 名古屋市
米当局、脆弱性悪用確認リストに7件追加 - IEなど旧製品関連も
内閣府サイト掲載のNPO法人役員名簿で墨塗り処理に不備 - 栃木県
WPS Office旧脆弱性、2020年以降の製品などにも影響
開示文書の墨塗り個人情報、出力ミスで参照可能に - 北九州市

