文档章节

修补百项安全漏洞 免费增值软件推出新版本

o
 ohuim
发布于 2018/10/04 16:10
字数 627
阅读 4
收藏 0

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>>

Foxit Software于上周释出了Foxit Reader 9.3,修补超过100个安全漏洞,当中不乏可导致远程程序攻击的重大漏洞,而光是Cisco Talos研究人员就找出了18个漏洞。

Foxit Reader属于免费增值(freemium)软件,提供免费的基本功能与付费的进阶功能,它可用来建立、检视、编辑或打印PDF档案,被视为是全球前十大最好用的PDF Reader之一,经常被用来取代Adobe Acrobat Reader。

找到Foxit Reader的18个安全漏洞的是Cisco Talos安全研究人员Aleksandar Nikolic,当中有7个漏洞为藏匿在JavaScript引擎的释放后使用(use-after-free)漏洞,成功的开采将导致远程程序攻击。

Nikolic解释,作为一个功能丰富的PDF Reader,Foxit支持JavaScript以提供互动文件及动态格式功能,当执行嵌入的JavaScript程序时,文件可被关闭,并释出许多用过的对象,然而该JavaScript却会继续执行,可能造成释放后使用的状况。

此外,它有许多攻击途径,例如诱导使用者开启一个恶意的PDF档,或是使用者在浏览器上安装了Foxit扩充程序,并浏览了恶意档,都可能触发相关漏洞。

另外也有不少漏洞属于越界读取信息揭露(Out-of-Bounds Read information Disclosure)漏洞。

族繁不及备载的漏洞数量让AI安全业者Vectra的安全分析主管Chris Morales在接受SCMedia访问时指出,软件原本就是复杂的,这些漏洞型态也是常见的,令他感到惊讶的是漏洞数量的庞大。

Morales认为,这样的结果也许源自于Foxit Software工程师未能适当地检验软件的程序代码,或者是资安研究人员利用机器学习技术来自动分析程序代码,才能一次找出这么多漏洞,不管是哪一项,业者都应该更认真地展开实时的威胁侦测并快速响应以降低漏洞所带来的风险。
文章转自:http://www.tckg.edu.hk/zone.html

© 著作权归作者所有

o
粉丝 0
博文 113
码字总数 66719
作品 0
东城
私信 提问
VLC 媒体播放器发现漏洞,目前仍未修补

根据 ZDNet 报道,在最新版本的 VLC 媒体播放器中发现了一个严重的漏洞,可能支持远程代码执行和其他恶意操作,而且目前没有修补程序。 非营利视频局域网的 VLC 播放器是一款流行的软件,用于...

afterer
07/24
1K
1
四月第一周安全要闻回顾:恶意软件和针对流行软件的漏洞攻击

本文同时发布在:[url]http://netsecurity.51cto.com/art/200904/120233.htm[/url] 近期值得关注的新闻以威胁和攻击领域内的为主。围绕疯狂扩散的Conficker蠕虫进行的攻防战本周仍在持续进行...

J0ker
2009/04/24
0
0
11月第2周要闻回顾:漏洞修补缓慢遭质疑 反恶软行业标准推出

本文同时发布在:[url]http://netsecurity.51cto.com/art/200811/98087.htm[/url] 本周(081110至081116)安全行业热闹不断。微软本月补丁不多,本应消停一下,不想却因此引发业界对其漏洞修...

J0ker
2008/11/21
0
0
2月第二周安全要闻回顾:微软发通缉令 IBM关注犯罪

本文同时发布在:[url]http://netsecurity.51cto.com/art/200902/110700.htm[/url] 本周(090209至090215)安全领域值得关注的新闻仍主要集中在漏洞攻击和恶意软件方面:微软按时发布二月更新...

J0ker
2009/02/26
0
0
存在多年的 Linux 漏洞被发现:可通过 WiFi 攻击目标计算机

一位安全研究人员表示,由于 Linux 中存在的严重安全漏洞能导致使用 WiFi 信号的附近设备崩溃,或者完全被黑客掌控。名叫 Nico Waisman 的安全研究人员发推文称,该漏洞位于 RTLWIFI 驱动程序...

作者: 安华金和
10/19
0
0

没有更多内容

加载失败,请刷新页面

加载更多

阿里云视频云正式支持AV1编码格式 为视频编码服务降本提效

今天我们要说的 AV1 可不是我们平时说的 .AVI 文件格式,它是由AOM(Alliance for Open Media,开放媒体联盟)制定的一个开源、免版权费的视频编码格式,可以解决H.265昂贵的专利费用和复杂的...

一肥仔
18分钟前
8
0
软件缺陷静态分析 CodeSonar 5.2 新版发布

对于使用C和C++构建安全关键软件的开发团队而言,CodeSonar一直是首选的静态分析解决方案。在近期发行的版本中,CodeSonar通过使用开放标准来扩展其语言覆盖范围,并增加了对Java、C#、Obj...

旋极科技
18分钟前
5
0
数据迁移

1. insert into values 或 insert into select批量插入时,都满足事务的原子性与一致性,但要注意insert into select的加锁问题。 2. replace into与insert into on duplicate key update都可...

qiang123
25分钟前
6
0
Linux装Windows系统后还不会激活?3招教你搞定

     相信大家已经发现荣耀MagicBook科技尝鲜版有多“香”了,不但可以轻松的将Linux系统装回Windows系统,还足足省下了300大洋!但是装回系统就万事大吉了吗?NoNoNo,我们还需要去激活...

梅丽莎好
28分钟前
6
0
Tomcat8源码分析-请求处理过程

上一篇:Tomcat8源码分析-启动流程-start方法 此篇主要讲Tomcat8从接收请求到处理请求的时序图画出来,并用文字描述一下主要流程 时序图 说明 文字描述流程之前先提示如下两点: 1.Acceptor...

特拉仔
30分钟前
6
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部