Foxit ha corregido un
total de 12 vulnerabilidades que afectan a Foxit Reader y Foxit PhantomPDF que
podrían permitir a un atacante provocar denegaciones de servicio, obtener
información sensible o la ejecución de código arbitrario.
Foxit es un lector de
PDF de la compañía Foxit Software, gratuito en su versión Reader y con versión
de pago que permite modificar PDFs. Se encuentra disponible para sistemas
operativos Windows y GNU/Linux, y en forma de plugin para navegadores web.
Supone una alternativa más ligera y menos "atacada" al popular lector
de PDFs Adobe Reader.
Las vulnerabilidades
afectan a las versiones 9.1.0.5096 o anteriores de los productos Reader y
PhantomPDF, son las detalladas a continuación:
Los problemas
corregidos se deben a desbordamientos de memoria intermedia al procesar
archivos PDF, dereferencias de puntero nulo, errores de confusión de tipo en
las funciones 'addAdLayer', 'exportAsFDF' y 'exportData' que podrían ser
aprovechados para ejecutar código arbitrario, así como fallos a la hora de
procesar ficheros JPEG que además podrían permitir revelar información
sensible.
También se han
detectado errores en las funciones 'GoToE' y 'GoToR' que permitirían el robo de
credenciales además de usos de memoria después de liberarla, problemas en el
tratamiento de nodos XFA o errores en algunas funciones en el código JavaScript
que podrían provocar denegaciones de servicio.
Las vulnerabilidades han
sido corregidas en la versión 9.2 disponibles en su página oficial https://www.foxitsoftware.com/downloads/
Más información:
·
Security
updates available in Foxit Reader 9.2 and Foxit PhantomPDF 9.2: https://www.foxitsoftware.com/support/security-bulletins.php
Fuente: Hispasec