「Foxit Reader」にゼロデイ脆弱性2件 - 公表受けて方針転換、修正へ
PDFビューワーソフト「Foxit Reader」に、未修正の脆弱性2件が含まれていることがわかった。Foxit Softwareでは、当初脆弱性を修正しない方針だったが、脆弱性の公表を受け、修正に向けて準備を進めているという。
トレンドマイクロ傘下のZero Day Initiative(ZDI)が公表したもの。
URLが正しいかチェックしておらず、細工したファイルやページを閲覧させることでリモートよりコードの実行が可能となるコマンドインジェクションの脆弱性「CVE-2017-10951」が存在。
またスタートアップフォルダに不正なファイルを書き込める「CVE-2017-10952」が含まれる。
脆弱性は、6月にZDIがFoxitへ報告したが、デフォルトで有効化されている「保護モード」を利用していれば影響を受けないとして、Foxitでは修正しない方針をZDIへ伝えていた。
(Security NEXT - 2017/08/21 )
ツイート
PR
関連記事
「Firefox 145」をリリース - 16件の脆弱性に対処
地域計画PDFに個人情報 墨塗りでも参照可能 - 小千谷市
公開データで個人情報を白く加工、コピペで参照可能 - 奥出雲町
公開PDF資料に個人情報、県注意喚起きっかけに判明 - 菊池市
「CSIRTスタータキット」の改訂版を公開 - 日本シーサート協議会
「JVN iPedia」の脆弱性登録、2四半期連続で1万件超
サイト掲載PDFに個人情報、墨塗りするも参照可能 - いすみ市
Amazon関連ドメイン取得、3週間で700件以上 - プライム感謝祭を標的か
監査関連資料を誤送信、メアド入力ミスで - 三重県
コンテスト応募者情報をPDFに誤掲載、前年から - 福岡市
