CVE-2024-25938

Nome do software vulnerável e versões afetadas:

Foxit Reader versão 2024.1.0.23997

Descrição:

Existe uma vulnerabilidade do tipo “use-after-free” na forma como o Foxit Reader lida com um widget de código de barras. Um código JavaScript especialmente criado dentro de um documento PDF malicioso pode acionar a reutilização de um objeto previamente liberado, o que pode levar à corrupção de memória e resultar na execução de código arbitrário. Um invasor precisa induzir o usuário a abrir o arquivo malicioso para acionar essa vulnerabilidade. A exploração também é possível se um usuário visitar um site malicioso especialmente criado, caso a extensão do plug-in do navegador esteja ativada.

Recomendações:

Para o Foxit Reader versão 2024.1.0.23997, atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução temporária, considere desativar a extensão do plug-in do navegador para minimizar o risco de exploração. Evite abrir documentos PDF maliciosos de fontes não confiáveis. Restrinja o acesso a sites não confiáveis para evitar uma possível exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.