Vulnerabilidades en Foxit Reader y Foxit PhantomPDF

Foxit ha corregido un total de seis vulnerabilidades que afectan a Foxit Reader y Foxit PhantomPDF que podrían permitir a un atacante provocar denegaciones de servicio, obtener información sensible o la ejecución de código arbitrario.

Foxit es un lector de PDF de la compañía Foxit Software, gratuito en su versión Reader y con versión de pago que permite modificar PDFs. Se encuentra disponible para sistemas operativos Windows y GNU/Linux, y en forma de plugin para navegadores web. Supone una alternativa más ligera y menos "atacada" al lector de Adobe.

Los problemas corregidos se deben a corrupciones de memoria, uso de memoria después de liberarla, lectura y escritura fuera de límites, desreferencia de puntero nulo, desbordamiento de búfer y desbordamiento de entero. Se ven afectados Foxit Reader 8.0.5 (y anteriores) para Windows y Foxit PhantomPDF 8.0.5 (y anteriores) para Windows.

Por otra parte, también ha publicado Foxit Reader para Mac y Linux 2.2 que soluciona una vulnerabilidad debido a permisos de archivo débiles, que podrían ser aprovechadas por atacantes para ejecutar código arbitrario y conseguir elevar privilegios (CVE-2016-8856).

Los problemas han sido corregidos en las versiones de Foxit Reader 8.1 para Windows, Foxit Reader 2.2 para Mac/Linux y Foxit PhantomPDF 8.1.

Para actualizar las aplicaciones se puede realizar desde la pestaña "Help" de Foxit Reader o Foxit PhantomPDF, en la opción "Check for Update".

O descargando las versiones actualizadas desde:

https://www.foxitsoftware.com/downloads/#Foxit-Reader

https://www.foxitsoftware.com/downloads/#Foxit-PhantomPDF-Business

Más información:

Security updates available in Foxit Reader 8.1 and Foxit PhantomPDF 8.1

Security updates available in Foxit Reader for Mac and Linux 2.2

https://www.foxitsoftware.com/support/security-bulletins.php#content-2016

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero