Foxit Reader Text Widget Format Use-After-Free Vulnerability
Mis à jour :
Vulnérabilité critique dans Foxit Reader : Exécution de code à distance
Une faille de sécurité de type “use-after-free” a été identifiée dans Foxit Reader, permettant potentiellement à un attaquant d’exécuter du code arbitraire sur le système d’une victime.
Points Clés
- Nature de la vulnérabilité : “Use-after-free” (Utilisation après libération) dans le traitement des objets de champ “Text Widget”.
- Mécanisme d’exploitation : Un document PDF spécialement conçu, contenant du code JavaScript malveillant, peut déclencher cette vulnérabilité. L’exploitation peut également survenir si un utilisateur visite un site web compromis, à condition que le plugin du navigateur soit activé.
- Conséquence : Corruption de la mémoire, menant à une exécution de code à distance.
- Version affectée : Foxit Reader 2025.2.0.33046.
- Score CVSSv3 : 8.8 (Critique).
Vulnérabilités
- CWE : CWE-416 - Use After Free
Il n’y a pas de CVE attribué spécifiquement à cette vulnérabilité dans le texte fourni.
Recommandations
Bien que l’article ne fournisse pas de recommandations explicites, la découverte et la chronologie suggèrent que les actions suivantes sont cruciales :
- Mise à jour immédiate : Les utilisateurs de Foxit Reader doivent mettre à jour leur logiciel vers la dernière version disponible pour corriger cette faille. Le fournisseur a publié un correctif.
- Prudence avec les documents PDF : Eviter d’ouvrir des documents PDF provenant de sources non fiables ou suspects.
- Vigilance sur le web : Être prudent lors de la navigation sur internet et éviter de visiter des sites web potentiellement dangereux, surtout si des plugins de navigateur sont utilisés.