Foxit Software a publié cette semaine des mises à jour de sécurité pour ses applications PDF Reader et PDF Editor, afin de remédier à plusieurs vulnérabilités, dont certaines conduisant à l’exécution de code à distance.

Trois des vulnérabilités corrigées par Foxit ont été identifiées par les chercheurs de Cisco Talos, toutes trois conduisant à l’exécution de code arbitraire.

Suivis comme CVE-2021-21831, CVE-2021-21870 et CVE-2021-21893, les bogues portent un score de gravité CVSS de 8,8. En raison de la manière dont certains codes JavaScript ou objets d’annotation sont gérés, un fichier PDF conçu de manière malveillante peut entraîner la réutilisation de la mémoire précédemment libre et l’exécution de code arbitraire.

Les trois failles sont des vulnérabilités sans utilisation dans le moteur JavaScript de PDF Reader qu’un attaquant pourrait exploiter en incitant la cible à ouvrir un fichier PDF malveillant. La vulnérabilité pourrait également être exploitée via un site Web malveillant, à condition que la victime ait activé le plug-in de navigateur Foxit, selon un avis de Cisco Talos.

[ Read: Reasons for Cloud Misconfigurations are Many and Complex ]

Foxit a également corrigé plusieurs vulnérabilités d’utilisation après utilisation gratuite dans la façon dont les applications gèrent les objets d’annotation dans certains fichiers PDF, « si le même dictionnaire d’annotations est référencé dans les structures de page pour différentes pages ».

Les vulnérabilités se produisent lorsqu’un dictionnaire d’annotations est associé à plusieurs objets d’annotation et pourraient conduire à l’exécution de code à distance, a expliqué Foxit.

Un autre problème de sécurité couvert par la mise à jour est une utilisation après utilisation gratuite lors de la traversée de nœuds de signet dans certains fichiers PDF, et qui pourrait également conduire à l’exécution de code à distance.

Foxit a également résolu les problèmes de sécurité potentiels liés à l’analyse de données XML avec trop de nœuds intégrés, à l’exécution de la fonction submitForm ou à l’analyse de fichiers PDF spécialement conçus.

Certaines de ces vulnérabilités ont également eu un impact sur macOS…