В PDF-читалке Foxit Reader устранили дыры, позволяющие выполнить код

В PDF-читалке Foxit Reader устранили дыры, позволяющие выполнить код

Разработчики Foxit Reader, популярного софта для чтения документов в формате PDF, выпустили обновление, устраняющее несколько уязвимостей. В случае эксплуатации эти бреши можно использовать для выполнения кода.

Пользователи любят Foxit Reader за его богатую функциональность и поддержку динамических форм, которая осуществляется через JavaScript. Но в то же время эта функциональность создаёт поверхность атаки.

Специалисты Cisco Talos на прошлой неделе опубликовали информацию о четырёх уязвимостях в JavaScript-движке Foxit Reader, которые могли привести к выполнению кода. Все бреши получили 8,8 балла по шкале CVSS и были классифицированы как use-after-free (некорректное использование динамической памяти).

Проблемы отслеживаются под следующими идентификаторами: CVE-2022-32774, CVE-2022-38097, CVE-2022-37332 и CVE-2022-40129.

«С помощью специально созданного PDF-документа можно повторно использовать ранее освобождённую память», — пишет Cisco.

Если злоумышленник решит использовать брешь в атаке, ему нужно будет заставить пользователя открыть вредоносный документ. Однако, если в браузере потенциальной жертвы установлено расширение Foxit, атакующий может задействовать баг и с помощью специального веб-сайта.

Cisco сообщила о проблемах разработчикам Foxit в сентябре. На прошлой неделе они выпустили версию под номером 12.0.2.1028, в которой устранены описанные дыры.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Москвич уберег пенсионерку от перевода 1,2 млн руб. мошенникам

84-летняя жительница Москвы почти перевела на счет мошенников 1,2 млн рублей, но пенсионерку остановил “сосед” по очереди к банкомату. Молодой человек уговорил женщину не верить звонившим и вызвал полицию.

“Сотрудники правоохранительных органов” позвонили пенсионерке в мессенджер WhatsApp 20 марта. Про историю пишет Baza. Мошенники заявили, что деньги с её счёта в Сбербанке пытаются украсть и выдали инструкцию, как их уберечь. Пожилая москвичка должна была снять все средства и положить наличные на “безопасный” счет.

Аферисты “вели” жертву по телефону всю дорогу до банкомата. Женщину от ошибки спас молодой человек, который пропустил её в очереди к терминалу и заметил на экране телефона сообщения от “Центробанка РФ”.

Мужчина начал объяснять пенсионерке, что она имеет дело с мошенниками. Женщина не могла поверить, а собеседник в трубке требовал, чтобы молодой человек оставил её в покое.

Тот же не отказался от попыток, позвонил в полицию и даже поехал с женщиной в отделение.

Только там пенсионерку удалось убедить в том, что она почти что стала жертвой финансовых мошенников. При этом писать заявление на мошенников она отказалась.

Добавим, в последних трендах у аферистов — поиск дропов (людей, на чьи счета мошенники переводят ворованные деньги) среди бывших жертв собственных же схем. Чаще всего, целью преступников становятся люди старшего поколения, которые до этого уже пострадали от аферистов. Незнание дропа о том, что он стал инструментом обналичивания денег, не освобождает его от уголовной ответственности.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru