漏洞关键信息 漏洞描述: Foxit Reader ComboBox Format event Use-After-Free Remote Code Execution Vulnerability 时间: July 19th, 2018 漏洞编号: - ZDI - 18 - 694 - ZDI - CAN - 5415 CVE ID: CVE - 2018 - 11617 CVSS 评分: 6.8, Access Vector: Network, Attack Complexity: Medium, Authentication: Not Required, Confidentiality Impact: Partial, Integrity Impact: Partial, Availability Impact: Partial 受影响供应商: Foxit 受影响产品: Reader 漏洞详情 漏洞描述: 该漏洞允许远程攻击者在易受攻击的 Foxit Reader 安装上执行任意代码。利用此漏洞需要用户交互,目标必须访问恶意页面或打开恶意文件。 具体问题: 在处理 ComboBox 字段的 Format 事件时存在特定缺陷。原因在于在对对象进行操作之前未验证对象的存在。攻击者可以利用此漏洞在当前进程的上下文中执行代码。 附加信息 Foxit 已发布更新以修复此漏洞。更多信息请访问: https://www.foxitsoftware.com/support/security-bulletins.php 披露时间线 2018 - 03 - 21: 漏洞向供应商报告 2018 - 07 - 19: 协调发布的咨询公告公开发布 2018 - 07 - 19: 咨询更新 致谢 提供者: 匿名