Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Foxit Reader」にゼロデイ脆弱性2件 - 公表受けて方針転換、修正へ

PDFビューワーソフト「Foxit Reader」に、未修正の脆弱性2件が含まれていることがわかった。Foxit Softwareでは、当初脆弱性を修正しない方針だったが、脆弱性の公表を受け、修正に向けて準備を進めているという。

20170821_zd_001.jpg

トレンドマイクロ傘下のZero Day Initiative(ZDI)が公表したもの。

URLが正しいかチェックしておらず、細工したファイルやページを閲覧させることでリモートよりコードの実行が可能となるコマンドインジェクションの脆弱性「CVE-2017-10951」が存在。

またスタートアップフォルダに不正なファイルを書き込める「CVE-2017-10952」が含まれる。

脆弱性は、6月にZDIがFoxitへ報告したが、デフォルトで有効化されている「保護モード」を利用していれば影響を受けないとして、Foxitでは修正しない方針をZDIへ伝えていた。

(Security NEXT - 2017/08/21 ) このエントリーをはてなブックマークに追加

PR

関連記事

Mozillaの暗号ライブラリ「NSS」に深刻な脆弱性 - アップデートを公開
経済同友会、複数端末に不正アクセス - サーバのアラート契機に発覚
群馬県、特別児童扶養手当受給者名簿を誤送付 - 「PPAP」裏目に
Androidアプリセキュアコーディングガイドの新版公開 - JSSEC
「送信ドメイン認証」導入マニュアルに第3版 - 「DMARC」導入を解説
ファイル取り違え、個人情報残る報告書をサイトで公開 - 滋賀県
「Firefox 93」が登場 - 機能強化や脆弱性の修正を実施
脆弱性を修正した「Ghostscript」のアップデートが公開
発表前に関連情報が流出したプレスリリースは871件 - PR TIMESが調査結果
Apple、「iOS 14.8」「iPadOS 14.8」を公開 - 悪用報告ある脆弱性2件を修正