Múltiples vulnerabilidades en Foxit Reader y PhantomPDF

Foxit ha corregido un total de 12 vulnerabilidades que afectan a Foxit Reader y Foxit PhantomPDF que podrí­an permitir a un atacante provocar denegaciones de servicio, obtener información sensible o la ejecución de código arbitrario.

foxit.png

Foxit es un lector de PDF de la compañí­a Foxit Software, gratuito en su versión Reader y con versión de pago que permite modificar PDFs. Se encuentra disponible para sistemas operativos Windows y GNU/Linux, y en forma de plugin para navegadores web. Supone una alternativa más ligera y menos «atacada» al popular lector de PDFs Adobe Reader.

Las vulnerabilidades afectan a las versiones 9.1.0.5096 o anteriores de los productos Reader y PhantomPDF, son las detalladas a continuación:

Los problemas corregidos se deben a desbordamientos de memoria intermedia al procesar archivos PDF, dereferencias de puntero nulo, errores de confusión de tipo en las funciones ‘addAdLayer’, ‘exportAsFDF’ y ‘exportData’ que podrí­an ser aprovechados para ejecutar código arbitrario, así­ como fallos a la hora de procesar ficheros JPEG que además podrí­an permitir revelar información sensible.

También se han detectado errores en las funciones ‘GoToE’ y ‘GoToR’ que permitirí­an el robo de credenciales además de usos de memoria después de liberarla, problemas en el tratamiento de nodos XFA o errores en algunas funciones en el código JavaScript que podrí­an provocar denegaciones de servicio.

Las vulnerabilidades han sido corregidas en la versión 9.2 disponibles en su página oficial https://www.foxitsoftware.com/downloads/.

Fuente: hispasec.com

Compartir: