「Foxit Reader」にゼロデイ脆弱性2件 - 公表受けて方針転換、修正へ
PDFビューワーソフト「Foxit Reader」に、未修正の脆弱性2件が含まれていることがわかった。Foxit Softwareでは、当初脆弱性を修正しない方針だったが、脆弱性の公表を受け、修正に向けて準備を進めているという。
トレンドマイクロ傘下のZero Day Initiative(ZDI)が公表したもの。
URLが正しいかチェックしておらず、細工したファイルやページを閲覧させることでリモートよりコードの実行が可能となるコマンドインジェクションの脆弱性「CVE-2017-10951」が存在。
またスタートアップフォルダに不正なファイルを書き込める「CVE-2017-10952」が含まれる。
脆弱性は、6月にZDIがFoxitへ報告したが、デフォルトで有効化されている「保護モード」を利用していれば影響を受けないとして、Foxitでは修正しない方針をZDIへ伝えていた。
(Security NEXT - 2017/08/21 )
ツイート
PR
関連記事
「Sophos Firewall」に複数の深刻な脆弱性 - 影響は1%未満
Adobe、月例パッチで160件以上の脆弱性を解消
Instagramフォロワーリストを誤送信 - 山と溪谷社
選手などの個人情報含むファイルをサイトに誤掲載 - 東京都フェンシング協会
遷移条件の設定にも対応、クラウド型のウェブ脆弱性診断サービス
日立社会SIS、「電子透かしソリューション」を機能強化 - 閲覧期限設定を追加
「Firefox 131」が公開 - 脆弱性13件を解消
土地改良区一覧表に個人情報、サイトに誤掲載 - 茨城県
「MS Edge」にアップデート - 悪用ある脆弱性に対応、独自修正も
ボランティア宛メールで誤送信、異なるファイル添付 - 大野城市