福昕软件曝出大量高危漏洞

近日，福昕软件（Foxit Reader）旗下的Foxit Reader和PhantomPDF等流行PDF工具先后曝出高危的远程代码执行漏洞。

据悉，福昕软件已经发布了补丁，修补了Windows版Foxit Reader和Foxit PhantomPDF（版本9.7.1.29511及更早版本）中与20个CVE相关的严重漏洞，其中一些漏洞使远程攻击者可以在易受攻击的系统上执行任意代码。

Foxit Reader是流行的PDF软件，其免费版本的用户群超过5亿，它提供了用于创建、签名和保护PDF文件的工具。

同时，PhantomPDF使用户可以将不同的文件格式转换为PDF。

除了数以百万计的品牌软件用户外，亚马逊、谷歌和微软等大型公司还许可福昕软件技术，从而进一步扩大了攻击面。

根据趋势科技ZDI漏洞分析，在针对这些漏洞的攻击情形中，“需要用户交互才能利用此漏洞，因为目标必须访问恶意页面或打开恶意文件” 。

部分漏洞信息如下：XFA模板的处理中存在漏洞（CVE-2020-10899，CVE-2020-10907），该模板是嵌入PDF的模板，允许填充字段。

这两个问题都是由于在对对象执行操作之前缺少对象验证机制。

攻击者可以利用这两个缺陷在当前进程的上下文中执行代码。

研究人员还发现AcroForms的处理方式存在RCE漏洞（CVE-2020-10900）。

AcroForms是包含表单字段的PDF文件。

之所以存在该错误，是因为AcroForms在对该对象执行操作之前没有验证该对象的存在。

在Foxit Reader PDF中的resetForm方法中存在另一个漏洞（CVE-2020-10906），同样是因为在对对象执行操作之前不会检查对象，从而使该过程容易受到RCE攻击。

此外，PhantomPDF也修补了一些高危漏洞，这些漏洞影响了9.7.1.29511版及更早版本。

强烈建议用户立刻更新到PhantomPDF版本9.7.2。

最严重的是PhantomPDF的API通信中的两个漏洞（CVE-2020-10890和CVE-2020-10892）。

从其他文档类型创建PDF时，必须使用PhantomPDF API调用。

这些漏洞源自对ConvertToPDF命令和CombineFiles命令的处理，这允许使用攻击者控制的数据写入任意文件。

CVE-2020-10890和CVE-2020-10892尤为值得关注，因为它们相对容易被利用。