Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Foxit Reader」にゼロデイ脆弱性2件 - 公表受けて方針転換、修正へ

PDFビューワーソフト「Foxit Reader」に、未修正の脆弱性2件が含まれていることがわかった。Foxit Softwareでは、当初脆弱性を修正しない方針だったが、脆弱性の公表を受け、修正に向けて準備を進めているという。

20170821_zd_001.jpg

トレンドマイクロ傘下のZero Day Initiative(ZDI)が公表したもの。

URLが正しいかチェックしておらず、細工したファイルやページを閲覧させることでリモートよりコードの実行が可能となるコマンドインジェクションの脆弱性「CVE-2017-10951」が存在。

またスタートアップフォルダに不正なファイルを書き込める「CVE-2017-10952」が含まれる。

脆弱性は、6月にZDIがFoxitへ報告したが、デフォルトで有効化されている「保護モード」を利用していれば影響を受けないとして、Foxitでは修正しない方針をZDIへ伝えていた。

(Security NEXT - 2017/08/21 ) このエントリーをはてなブックマークに追加

PR

関連記事

ドメイン名やDNSを学べる漫画冊子を教育機関に無償配布 - JPRS
Mozilla、ブラウザの最新版「Firefox 126」を公開
「Firefox 125.0.1」をリリース、脆弱性15件を修正
成績通知書ファイルを学生にメール誤送信 - 別府大
画像管理サーバがランサム被害、救急や一般外来受入に影響 - 国分生協病院
「Ghostscript」旧版に「クリティカル」とされる脆弱性
開示文書の墨塗り処理に不備、個人情報など参照可能 - 埼玉県
「MS Edge」にセキュリティアップデート - 独自含む5件の脆弱性を解消
悪意あるファイル、1日あたり約41万件 - 前年比3%増
特定保健指導の参加者情報が外部流出 - 伊丹市