Por el bien de Foxit: se insta a los usuarios de Windows y Mac a parchear PhantomPDF

Los usuarios de Windows y Mac que ejecutan el popular lector PhantomPDF de Foxit deben actualizar sus instalaciones a la última versión después de que la agencia de ciberseguridad CISA de EE. UU. Advirtiera sobre una serie de vulnerabilidades de productos de alta gravedad.

En su último informe regular de amenazas, CISA contó cuatro vulnerabilidades CVSS v2 de nivel 7.5 que afectan a PhantomPDF.

El paquete de software se usa ampliamente para manipular archivos PDF, particularmente por personas que, por cualquier motivo, evitan los productos y el modelo de precios de Adobe.

Foxit ha publicado actualizaciones para su software en formatos Windows y Apple Mac. Los lectores que ejecutan versiones anteriores a la 10.1 para Windows y la versión 4.1 para Mac deben descargarlas e instalarlas desde el sitio web de Foxit .

Las cuatro vulnerabilidades más recientes van desde errores de uso después de libre hasta escrituras de memoria fuera de los límites y violaciones de acceso de lectura / escritura.

Las notas del parche de Foxit indicaban, para una de las vulnerabilidades: «Se solucionó un problema potencial en el que la aplicación podría estar expuesta a la vulnerabilidad Use-After-Free y fallar al ejecutar JavaScript en cierto AcroForm. Esto ocurre debido al uso del objeto Opt después de que se ha ha sido eliminado llamando al método Field :: ClearItems mientras se ejecuta el método Field :: DeleteOptions «.

Bajo CVSS v3, las vulnerabilidades se calificaron como 9.8, un puntaje crítico, aunque es importante tener en cuenta que los puntajes CVSS generalmente son una guía para el impacto en el peor de los casos de un vuln si se usa incorrectamente.

El año pasado, Foxit sufrió un problema de seguridad de datos que hizo que «terceros» obtuvieran acceso a los datos del área de Mi cuenta de sus usuarios. La empresa inició en ese momento una investigación forense digital y llamó a restablecer las contraseñas de todos los usuarios afectados

Lo siento por los inconvenientes ocasionados. Asegúrese de que su contraseña tenga entre 8 y 20 caracteres, incluya caracteres tanto en minúsculas como en mayúsculas e incluya al menos un número o carácter especial. Entonces será lo suficientemente fuerte.

– Foxit Software (@foxitsoftware) 30 de agosto de 2019