研究人员发现InvestIntech的Able2Extract Professional工具存在严重缺陷,使用精心编制的图像文件能使这些缺陷被利用来执行任意代码。
Able2Extract Professional在135个国家拥有超过250000个授权用户。这些授权用户可以随意查看、转换和编辑PDF文件。
Cisco Talos的专家们发现了两个较严重的内存损坏漏洞,这两个漏洞可以被利用在目标计算机上执行任意代码。
“Cisco Talos最近在InvestIntech的ABLE2Extract Professional中发现了两个远程代码执行漏洞。这个软件是一个适用于Windows, Mac 和 Linux的跨平台的PDF工具。用户可以用它进行PDF格式转化,并且可以创建和编辑它们。
这两个漏洞被命名为CVE-2019-5088和CVE-2019-5089,可以被精心编制的JPEG或BMP图像文件触发。攻击者可以通过诱使用户使用able2extract professional打开巧尽心思构建的图像文件来触发越界内存写入。
CVE-2019-5089在Investintech Able2Extract Professional中存在一个可利用的内存损坏漏洞。巧尽心思构建的JPEG文件可能会导致内存写入越界,使攻击者能够在受害机器上执行任意代码。攻击者可通过向用户提供巧尽心思构建的JPEG文件来利用此漏洞进行攻击。
这些漏洞会影响Table2Extract Professional版本14.0.7 x64。
Talos的研究人员在8月1日发布Investintech的漏洞报告之后,公司便在11月1日发布了解决这些漏洞的版本。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
