[TLP:CLEAR] Foxit PDF Reader a Foxit PDF Editor opravují ACE zranitelnost
Foxit PDF Editor 12.1.8 [2] a Foxit PDF Reader 2024.3.0.26795 [3] opravují vysoce závažnou zranitelnost.
Neautentizovanému vzdálenému útočníkovi je prostřednictvím zneužítí use-after-free zranitelnosti při zpracování objektu zaškrtávacího pole umožněno způsobit poškození paměti a následně vykonat spuštění libovolného kódu. Útočník musí přimět uživatele k otevření škodlivého souboru nebo navštívení speciálně vytvořené škodlivé stránky, pokud má v prohlížeči aktivovaný Foxit plugin [1].
Zranitelnost se nachází v produktech:
- Foxit PDF Reader
- Foxit PDF Editor
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-28888 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zranitelnost byla veřejně oznámena 2. 10. 2024.