Beveiligingsbulletins

Een snelle reactie op softwaredefecten en beveiligingsproblemen is en blijft voor Foxit Software een topprioriteit. Hoewel bedreigingen niet uit te sluiten zijn, zijn wij er trots op dat wij de meest robuuste PDF-oplossingen op de markt ondersteunen. Hier volgt informatie over enkele verbeteringen die onze software nog robuuster maken.

Klik hier om een mogelijk beveiligingsprobleem te melden.

Klik hier om beveiligingsadviezen te bekijken.

Blijf op de hoogte van releases en beveiligingsbulletins van Foxit PDF Editor

2024

Beveiligingsupdate beschikbaar in Foxit PDF Editor voor Mac 12.1.6

Releasedatum: 18 oktober 2024

Platform: macOS

Samenvatting

Foxit heeft Foxit PDF Editor voor Mac 12.1.6 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	12.1.5.55449 en alle eerdere 12.x-versies, 11.1.9.0524 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de laatste versies via een van de onderstaande methoden.

In Foxit PDF Editor voor Mac klikt u op Help > Over Foxit PDF Editor > Controleren op updates (in versie 11 en ouder klikt u op Help > Controleren op updates) om bij te werken naar de recenste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Een potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Privilege Escalation-kwetsbaarheid tijdens het deactiveren of verwijderen als de toepassing opnieuw werd geïnstalleerd zonder voorafgaande verwijdering, waarvan aanvallers misbruik konden maken om kwaadaardige acties uit te voeren. Dit doet zich voor vanwege de ontoereikende toestemmingsinstelling voor de map "/usr/local/share/foxit" die tijdens de installatie wordt gebruikt, zodat aanvallers met lage privileges eenvoudig kunnen knoeien met de scriptbestanden in de map.	Tomas Kabrt
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Use-After-Free-kwetsbaarheid en kon vastlopen bij de verwerking van bepaalde objecten voor selectievakjevelden of AcroForms. Dit probleem had door aanvallers kunnen worden misbruikt om code op afstand uit te voeren. Dit gebeurt wanneer de applicatie een wild pointer gebruikt of een object dat is vrijgegeven zonder juiste validatie, of niet correct de annotatie-items synchroniseert bij het afhandelen van de Reply Note van een annotatie met JavaScript. (CVE-2024-28888, CVE-2024-7725, CVE-2024-9254)	KPC van Cisco Talos Anonymous in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdate beschikbaar in Foxit PDF Editor voor Mac 11.1.10

Releasedatum: 18 oktober 2024

Platform: macOS

Samenvatting

Foxit heeft Foxit PDF Editor voor Mac 11.1.10 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	11.1.9.0524 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de laatste versies via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit PDF Editor voor Mac op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting

Met dank aan

Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Use-After-Free-kwetsbaarheid en kon vastlopen bij de verwerking van bepaalde objecten voor selectievakjevelden of AcroForms. Dit probleem had door aanvallers kunnen worden misbruikt om code op afstand uit te voeren. Dit gebeurt wanneer de applicatie een wild pointer gebruikt of een object dat is vrijgegeven zonder juiste validatie, of niet correct de annotatie-items synchroniseert bij het afhandelen van de Reply Note van een annotatie met JavaScript. (CVE-2024-28888, CVE-2024-7725, CVE-2024-9254)

KPC van Cisco Talos
Anonymous in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdate beschikbaar in Foxit PDF Editor 11.2.11

Releasedatum: 18 oktober 2024

Platform: Windows

Samenvatting

Foxit heeft Foxit PDF Editor 11.2.11 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor (voorheen Foxit PhantomPDF)	11.2.10.53951 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies via een van de onderstaande methoden.

In Foxit PDF Editor klikt u op 'Help' >'Over Foxit PDF Editor' > 'Controleren op updates' om bij te werken naar de recenste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Use-After-Free-kwetsbaarheid of kon vastlopen bij de verwerking van bepaalde objecten voor selectievakjevelden, documentobjecten, annotatieobjecten of AcroForms. Dit probleem had door aanvallers kunnen worden misbruikt om code op afstand uit te voeren of om informatie te onthullen. Dit gebeurt wanneer de applicatie een wild pointer gebruikt of een object dat zonder juiste validatie is vrijgegeven, niet correct de annotatie-items synchroniseert bij het afhandelen van de Reply Note van een annotatie met JavaScript, of na het verwijderen van een pagina de lettertypecache niet correct bijwerkt. (CVE-2024-28888, CVE-2024-7722, CVE-2024-7723, CVE-2024-7724, CVE-2024-7725, CVE-2024-9243, CVE-2024-9246, CVE-2024-9250, CVE-2024-9252, CVE-2024-9253, CVE-2024-9251, CVE-2024-9254, CVE-2024-9255, CVE-2024-9256)	KPC van Cisco Talos Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Privilege Escalation-kwetsbaarheid bij het uitvoeren van een update of het installeren van een plug-in, waarvan aanvallers misbruik konden maken om willekeurige bestanden te verwijderen of willekeurige code uit te voeren om zo Privilege Escalation-aanvallen uit te voeren. Dit komt door de onjuiste toewijzing van rechten aan de bronnen die worden gebruikt door de updateservice, onjuiste handtekeningvalidatie en onvolledige certificaatcontrole voor de updater, zwakke willekeurigheidsinstelling voor de naam van de tijdelijke map tijdens een installatie van een plug-in of onjuist laden van DLL's zonder gebruik te maken van het ingebouwde manifestbestand. (CVE-2024-9245, CVE-2024-9244, CVE-2024-38393, CVE-2024-48618)	Patrick Nassef Henry (@Patrick0x41) in samenwerking met Trend Micro Zero Day Initiative EthicalChaos in samenwerking met Trend Micro Zero Day Initiative Aobo Wang van Chaitin Security Research Lab Dong-uk Kim van KAIST Hacking Lab (@justlikebono) Sascha Meyer van GAI NetConsult GmbH CrisprXiang met FDU
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Out-of-Bounds Read/Write-kwetsbaarheid en kon vastlopen tijdens het parseren van bepaalde PDF-bestanden of het verwerken van bepaalde annotatieobjecten, waarvan aanvallers misbruik konden maken om code op afstand uit te voeren. Dit doet zich voor als de toepassing gegevens leest of schrijft buiten de grenswaarden van een toegewezen object of buffer. (CVE-2024-9247, CVE-2024-9249, CVE-2024-9248)	Anonymous in samenwerking met Trend Micro Zero Day Initiative
Een potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Side-Loading-kwetsbaarheid bij het uitvoeren van een update, waarvan aanvallers misbruik konden maken om schadelijke payloads uit te voeren door het updatebestand te vervangen door een kwaadaardig bestand. Dit doet zich voor als de toepassing de integriteit van de updater niet kan valideren wanneer de updateservice wordt uitgevoerd. (CVE-2024-41605)	Jukka Juntunen / Hypervisio Oy
Een potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-kwetsbaarheid en kon vastlopen bij het scrollen door bepaalde PDF-bestanden met een abnormale StructTreeRoot-woordenboekvermelding, waarvan aanvallers misbruik konden maken om een Denial of Service-aanval uit te voeren. Dit treedt op door het gebruik van een null-aanwijzer zonder de vereiste validatie.	Haifei Li van EXPMON

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Editor 12.1.8

Releasedatum: 29 september 2024

Platform: Windows

Samenvatting

Foxit heeft Foxit PDF Editor 12.1.8 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor (voorheen Foxit PhantomPDF)	12.1.7.15526 en alle eerdere 12.x-versies, 11.2.10.53951 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor klikt u op 'Help' >'Over Foxit PDF Editor' > 'Controleren op updates' om bij te werken naar de recenste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Use-After-Free-kwetsbaarheid of kon vastlopen bij de verwerking van bepaalde objecten voor selectievakjevelden, documentobjecten, annotatieobjecten of AcroForms. Dit gebeurt wanneer de applicatie een wild pointer gebruikt of een object dat zonder juiste validatie is vrijgegeven, niet correct de annotatie-items synchroniseert bij het afhandelen van de Reply Note van een annotatie met JavaScript, of na het verwijderen van een pagina de lettertypecache niet correct bijwerkt. (CVE-2024-28888, CVE-2024-7722, CVE-2024-7723, CVE-2024-7724, CVE-2024-7725, CVE-2024-9243, CVE-2024-9246, CVE-2024-9250, CVE-2024-9252, CVE-2024-9253, CVE-2024-9251, CVE-2024-9254, CVE-2024-9255, CVE-2024-9256)	KPC van Cisco Talos Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Privilege Escalation-kwetsbaarheid bij het uitvoeren van een update of het installeren van een plug-in, waarvan aanvallers misbruik konden maken om willekeurige bestanden te verwijderen of willekeurige code uit te voeren om zo Privilege Escalation-aanvallen uit te voeren. Dit komt door de onjuiste toewijzing van rechten aan de bronnen die worden gebruikt door de updateservice, onjuiste handtekeningvalidatie en onvolledige certificaatcontrole voor de updater, zwakke willekeurigheidsinstelling voor de naam van de tijdelijke map tijdens een installatie van een plug-in of onjuist laden van DLL's zonder gebruik te maken van het ingebouwde manifestbestand. (CVE-2024-9245, CVE-2024-9244, CVE-2024-38393, CVE-2024-48618)	Patrick Nassef Henry (@Patrick0x41) in samenwerking met Trend Micro Zero Day Initiative EthicalChaos in samenwerking met Trend Micro Zero Day Initiative Aobo Wang van Chaitin Security Research Lab Dong-uk Kim van KAIST Hacking Lab (@justlikebono) Sascha Meyer van GAI NetConsult GmbH CrisprXiang met FDU
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Out-of-Bounds Read/Write-kwetsbaarheid en kon vastlopen tijdens het parseren van bepaalde PDF-bestanden of het verwerken van bepaalde annotatieobjecten, waarvan aanvallers misbruik konden maken om code op afstand uit te voeren. Dit doet zich voor als de toepassing gegevens leest of schrijft buiten de grenswaarden van een toegewezen object of buffer. (CVE-2024-9247, CVE-2024-9249, CVE-2024-9248)	Anonymous in samenwerking met Trend Micro Zero Day Initiative
Een potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Side-Loading-kwetsbaarheid bij het uitvoeren van een update, waarvan aanvallers misbruik konden maken om schadelijke payloads uit te voeren door het updatebestand te vervangen door een kwaadaardig bestand. Dit doet zich voor als de toepassing de integriteit van de updater niet kan valideren wanneer de updateservice wordt uitgevoerd. (CVE-2024-41605)	Jukka Juntunen / Hypervisio Oy
Een potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-kwetsbaarheid en kon vastlopen bij het scrollen door bepaalde PDF-bestanden met een abnormale StructTreeRoot- woordenboekvermelding, waarvan aanvallers misbruik konden maken om een Denial of Service-aanval uit te voeren. Dit treedt op door het gebruik van een null-aanwijzer zonder de vereiste validatie.	Haifei Li van EXPMON

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Reader 2024.3 en Foxit PDF Editor 2024.3

Releasedatum: 26 september 2024

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Reader 2024.3 en Foxit PDF Editor 2024.3 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Reader (voorheen Foxit Reader)	2024.2.3.25184 en eerder	Windows
Foxit PDF Editor (voorheen Foxit PhantomPDF)	2024.2.3.25184 en alle eerdere 2024.x-versies, 2023.3.0.23028 en alle eerdere 2023.x-versies, 13.1.3.22478 en alle eerdere 13.x-versies, 12.1.7.15526 en alle eerdere 12.x-versies, 11.2.10.53951 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

(In versie 2023.1 en hoger) In Foxit PDF Reader of Foxit PDF Editor klikt u op Help > Over Foxit PDF Reader of Over Foxit PDF Editor > Controleren op update om uw toepassing bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Use-After-Free-kwetsbaarheid of kon vastlopen bij de verwerking van bepaalde objecten voor selectievakjevelden, annotatieobjecten of AcroForms, die aanvallers kunnen misbruiken om externe code uit te voeren of informatie openbaar te maken. Dit gebeurt wanneer de applicatie een wild pointer gebruikt of een object dat zonder juiste validatie is vrijgegeven, niet correct de annotatie-items synchroniseert bij het afhandelen van de Reply Note van een annotatie met JavaScript, of na het verwijderen van een pagina de lettertypecache niet correct bijwerkt. (CVE-2024-28888, CVE-2024-9243, CVE-2024-9246, CVE-2024-9250, CVE-2024-9252, CVE-2024-9253, CVE-2024-9251, CVE-2024-9254, CVE-2024-9255, CVE-2024-9256)	KPC van Cisco Talos Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Privilege Escalation-kwetsbaarheid bij het uitvoeren van een update of het installeren van een plug-in, waarvan aanvallers misbruik konden maken om willekeurige bestanden te verwijderen of willekeurige code uit te voeren om zo Privilege Escalation-aanvallen uit te voeren. Dit komt door de onjuiste toewijzing van rechten aan de bronnen die worden gebruikt door de updateservice, onjuiste handtekeningvalidatie en onvolledige certificaatcontrole voor de updater, zwakke willekeurigheidsinstelling voor de naam van de tijdelijke map tijdens een installatie van een plug-in of onjuist laden van DLL's zonder gebruik te maken van het ingebouwde manifestbestand. (CVE-2024-9245, CVE-2024-9244, CVE-2024-38393, CVE-2024-48618)	Patrick Nassef Henry (@Patrick0x41) in samenwerking met Trend Micro Zero Day Initiative EthicalChaos in samenwerking met Trend Micro Zero Day Initiative Aobo Wang van Chaitin Security Research Lab Dong-uk Kim van KAIST Hacking Lab (@justlikebono) Sascha Meyer van GAI NetConsult GmbH CrisprXiang met FDU
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Out-of-Bounds Read/Write-kwetsbaarheid en kon vastlopen tijdens het parseren van bepaalde PDF-bestanden of het verwerken van bepaalde annotatieobjecten, waarvan aanvallers misbruik konden maken om code op afstand uit te voeren. Dit doet zich voor als de toepassing gegevens leest of schrijft buiten de grenswaarden van een toegewezen object of buffer. (CVE-2024-9247, CVE-2024-9249, CVE-2024-9248)	Anonymous in samenwerking met Trend Micro Zero Day Initiative
Een potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Side-Loading-kwetsbaarheid bij het uitvoeren van een update, waarvan aanvallers misbruik konden maken om schadelijke payloads uit te voeren door het updatebestand te vervangen door een kwaadaardig bestand. Dit doet zich voor als de toepassing de integriteit van de updater niet kan valideren wanneer de updateservice wordt uitgevoerd. (CVE-2024-41605)	Jukka Juntunen / Hypervisio Oy
Een potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-kwetsbaarheid en kon vastlopen bij het scrollen door bepaalde PDF-bestanden met een abnormale StructTreeRoot- woordenboekvermelding, waarvan aanvallers misbruik konden maken om een Denial of Service-aanval uit te voeren. Dit treedt op door het gebruik van een null-aanwijzer zonder de vereiste validatie.	Haifei Li van EXPMON

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 2024.3 en Foxit PDF Reader voor Mac 2024.3

Releasedatum: 26 september 2024

Platform: macOS

Samenvatting

Foxit heeft Foxit PDF Editor voor Mac 2024.3 en Foxit PDF Reader voor Mac 2024.3 uitgebracht, die mogelijke beveiligings- en stabiliteitsproblemen verhelpen.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	2024.2.3.64402 en alle eerdere 2024.x-versies, 2023.3.0.63083 en alle eerdere 2023.x-versies, 13.1.2.62201 en alle eerdere 13.x-versies, 12.1.5.55449 en alle eerdere 12.x-versies, 11.1.9.0524 en eerder	macOS
Foxit PDF Reader voor Mac (voorheen Foxit Reader Mac)	2024.2.2.64388 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

(In versie 2023.1 en hoger) In Foxit PDF Reader voor Mac of Foxit PDF Editor voor Mac klikt u op Help > Over Foxit PDF Reader of Over Foxit PDF Editor > Controleren op updates om de toepassing bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader voor Mac van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Een potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Privilege Escalation-kwetsbaarheid tijdens het deactiveren of verwijderen als de toepassing opnieuw werd geïnstalleerd zonder voorafgaande verwijdering, waarvan aanvallers misbruik konden maken om kwaadaardige acties uit te voeren. Dit doet zich voor vanwege de ontoereikende toestemmingsinstelling voor de map "/usr/local/share/foxit" die tijdens de installatie wordt gebruikt, zodat aanvallers met lage privileges eenvoudig kunnen knoeien met de scriptbestanden in de map.	Tomas Kabrt
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Use-After-Free-kwetsbaarheid of kon vastlopen bij de verwerking van bepaalde objecten voor selectievakjevelden, annotatieobjecten of AcroForms, waarvan aanvallers misbruik konden maken om code op afstand uit te voeren. Dit gebeurt wanneer de applicatie een wild pointer gebruikt of een object dat is vrijgegeven zonder juiste validatie, of niet correct de annotatie-items synchroniseert bij het afhandelen van de Reply Note van een annotatie met JavaScript. (CVE-2024-28888, CVE-2024-7725, CVE-2024-9243, CVE-2024-9254)	KPC van Cisco Talos Anonymous in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 13.1.4

Releasedatum: 26 september 2024

Platform: macOS

Samenvatting

Foxit heeft Foxit PDF Editor voor Mac 13.1.4 uitgebracht, die mogelijke beveiligings- en stabiliteitsproblemen verhelpen.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	13.1.2.62201 en alle eerdere 13.x-versies, 12.1.5.55449 en alle eerdere 12.x-versies, 11.1.9.0524 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor voor Mac klikt u op Help > Over Foxit PDF Editor > Controleren op updates (in versie 11 en ouder klikt u op Help > Controleren op updates) om bij te werken naar de recenste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Een potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Privilege Escalation-kwetsbaarheid tijdens het deactiveren of verwijderen als de toepassing opnieuw werd geïnstalleerd zonder voorafgaande verwijdering, waarvan aanvallers misbruik konden maken om kwaadaardige acties uit te voeren. Dit doet zich voor vanwege de ontoereikende toestemmingsinstelling voor de map "/usr/local/share/foxit" die tijdens de installatie wordt gebruikt, zodat aanvallers met lage privileges eenvoudig kunnen knoeien met de scriptbestanden in de map.	Tomas Kabrt
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Use-After-Free-kwetsbaarheid of kon vastlopen bij de verwerking van bepaalde objecten voor selectievakjevelden, annotatieobjecten of AcroForms, waarvan aanvallers misbruik konden maken om code op afstand uit te voeren. Dit gebeurt wanneer de applicatie een wild pointer gebruikt of een object dat is vrijgegeven zonder juiste validatie, of niet correct de annotatie-items synchroniseert bij het afhandelen van de Reply Note van een annotatie met JavaScript. (CVE-2024-28888, CVE-2024-7725, CVE-2024-9243, CVE-2024-9254)	KPC van Cisco Talos Anonymous in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Editor 13.1.4

Releasedatum: 26 september 2024

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Editor 13.1.4 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor (voorheen Foxit PhantomPDF)	13.1.3.22478 en alle eerdere 13.x-versies, 12.1.7.15526 en alle eerdere 12.x-versies, 11.2.10.53951 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om uw versie bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Use-After-Free-kwetsbaarheid of kon vastlopen bij de verwerking van bepaalde objecten voor selectievakjevelden, annotatieobjecten of AcroForms, die aanvallers kunnen misbruiken om externe code uit te voeren of informatie openbaar te maken. Dit gebeurt wanneer de applicatie een wild pointer gebruikt of een object dat zonder juiste validatie is vrijgegeven, niet correct de annotatie-items synchroniseert bij het afhandelen van de Reply Note van een annotatie met JavaScript, of na het verwijderen van een pagina de lettertypecache niet correct bijwerkt. (CVE-2024-28888, CVE-2024-9243, CVE-2024-9246, CVE-2024-9250, CVE-2024-9252, CVE-2024-9253, CVE-2024-9251, CVE-2024-9254, CVE-2024-9255, CVE-2024-9256)	KPC van Cisco Talos Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Privilege Escalation-kwetsbaarheid bij het uitvoeren van een update of het installeren van een plug-in, waarvan aanvallers misbruik konden maken om willekeurige bestanden te verwijderen of willekeurige code uit te voeren om zo Privilege Escalation-aanvallen uit te voeren. Dit komt door de onjuiste toewijzing van rechten aan de bronnen die worden gebruikt door de updateservice, onjuiste handtekeningvalidatie en onvolledige certificaatcontrole voor de updater, zwakke willekeurigheidsinstelling voor de naam van de tijdelijke map tijdens een installatie van een plug-in of onjuist laden van DLL's zonder gebruik te maken van het ingebouwde manifestbestand. (CVE-2024-9245, CVE-2024-9244, CVE-2024-38393, CVE-2024-48618)	Patrick Nassef Henry (@Patrick0x41) in samenwerking met Trend Micro Zero Day Initiative EthicalChaos in samenwerking met Trend Micro Zero Day Initiative Aobo Wang van Chaitin Security Research Lab Dong-uk Kim van KAIST Hacking Lab (@justlikebono) Sascha Meyer van GAI NetConsult GmbH CrisprXiang met FDU
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Out-of-Bounds Read/Write-kwetsbaarheid en kon vastlopen tijdens het parseren van bepaalde PDF-bestanden of het verwerken van bepaalde annotatieobjecten, waarvan aanvallers misbruik konden maken om code op afstand uit te voeren. Dit doet zich voor als de toepassing gegevens leest of schrijft buiten de grenswaarden van een toegewezen object of buffer. (CVE-2024-9247, CVE-2024-9249, CVE-2024-9248)	Anonymous in samenwerking met Trend Micro Zero Day Initiative
Een potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Side-Loading-kwetsbaarheid bij het uitvoeren van een update, waarvan aanvallers misbruik konden maken om schadelijke payloads uit te voeren door het updatebestand te vervangen door een kwaadaardig bestand. Dit doet zich voor als de toepassing de integriteit van de updater niet kan valideren wanneer de updateservice wordt uitgevoerd. (CVE-2024-41605)	Jukka Juntunen / Hypervisio Oy
Een potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-kwetsbaarheid en kon vastlopen bij het scrollen door bepaalde PDF-bestanden met een abnormale StructTreeRoot- woordenboekvermelding, waarvan aanvallers misbruik konden maken om een Denial of Service-aanval uit te voeren. Dit treedt op door het gebruik van een null-aanwijzer zonder de vereiste validatie.	Haifei Li van EXPMON

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 2024.2.3

Releasedatum: 4 augustus 2024

Platform: macOS

Samenvatting

Foxit heeft Foxit PDF Editor voor Mac 2024.2.3 uitgebracht, die mogelijke beveiligings- en stabiliteitsproblemen verhelpen.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	2024.2.2.64388, 2024.2.1.64379, 2024.2.0.64371, en 2024.1.0.63682	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

(In versie 2023.1 en hoger) In Foxit PDF Editor voor Mac klikt u op Help > Over Foxit PDF Editor > Controleren op updates om de toepassing bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting

Met dank aan

Een probleem aangepakt dat leidt tot gedeeltelijke verwijdering van informatie.
Houd er rekening mee dat het probleem optreedt onder de volgende omstandigheden:

Wanneer u de volgende getroffen versies gebruikt:

Windows-editorversies: PDF Editor v13.0 - v13.1.2 en PDF Editor v2023.2 - v2024.2.2; en
Mac-editorversies: PDF Editor v2024.1, v2024.2, v2024.2.1, v2024.2.2;

Wanneer u de functie "Zoeken en Redigeren" of "Slim Redigeren" gebruikt (het probleem heeft geen invloed op de handmatige markering van tekst en afbeeldingen vóór het redigeren);
Wanneer uw zoektekst meerdere woorden met een spatie bevat; en
Wanneer uw zoektekst binnen hetzelfde tekstobject een teken bevat dat groter is dan uw zoektekst binnen hetzelfde tekstobject. Het probleem doet zich niet voor als het teken deel uitmaakt van de zoekterm.

Alle 4 de voorwaarden moeten tegelijkertijd worden voldaan om dit probleem te repliceren.

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Reader 2024.2.3 en Foxit PDF Editor 2024.2.3

Releasedatum:

Foxit PDF Editor: 3 augustus 2024

Foxit PDF Reader: 9 augustus 2024

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 2024.2.3 en Foxit PDF Editor 2024.2.3 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Reader (voorheen Foxit Reader)	2024.2.2.25170 en eerder	Windows
Foxit PDF Editor (voorheen Foxit PhantomPDF)	2024.2.2.25170 en alle eerdere 2024.x-versies, 2023.3.0.23028 en alle eerdere 2023.x-versies, 13.1.2.22442 en alle eerdere 13.x-versies, 12.1.7.15526 en alle eerdere 12.x-versies, 11.2.10.53951 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

(In versie 2023.1 en hoger) In Foxit PDF Reader of Foxit PDF Editor klikt u op Help > Over Foxit PDF Reader of Over Foxit PDF Editor > Controleren op update om uw toepassing bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting

Met dank aan

Aangepakte potentiële problemen waarbij de applicatie kon worden blootgesteld aan een Use-After-Free kwetsbaarheid en crashen bij het verwerken van bepaalde Doc-objecten of AcroForms, wat aanvallers zouden kunnen uitbuiten om externe code uit te voeren of informatie te onthullen. Dit gebeurt door het gebruik van een wild pointer of een object dat is vrijgegeven zonder de juiste validatie. (CVE-2024-7722, CVE-2024-7723, CVE-2024-7724, CVE-2024-7725)

Anonymous in samenwerking met Trend Micro Zero Day Initiative

Een probleem aangepakt dat leidt tot gedeeltelijke verwijdering van informatie.
Houd er rekening mee dat het probleem optreedt onder de volgende omstandigheden:

Wanneer u de volgende getroffen versies gebruikt:

Windows-editorversies: PDF Editor v13.0 - v13.1.2 en PDF Editor v2023.2 - v2024.2.2; en
Mac-editorversies: PDF Editor v2024.1, v2024.2, v2024.2.1, v2024.2.2;

Wanneer u de functie "Zoeken en Redigeren" of "Slim Redigeren" gebruikt (het probleem heeft geen invloed op de handmatige markering van tekst en afbeeldingen vóór het redigeren);
Wanneer uw zoektekst meerdere woorden met een spatie bevat; en
Wanneer uw zoektekst binnen hetzelfde tekstobject een teken bevat dat groter is dan uw zoektekst binnen hetzelfde tekstobject. Het probleem doet zich niet voor als het teken deel uitmaakt van de zoekterm.

Alle 4 de voorwaarden moeten tegelijkertijd worden voldaan om dit probleem te repliceren.

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Editor 13.1.3

Releasedatum: 3 augustus 2024

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Editor 13.1.3 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor (voorheen Foxit PhantomPDF)	13.1.2.22442 en alle eerdere 13.x-versies, 12.1.7.15526 en alle eerdere 12.x-versies, 11.2.10.53951 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Editor' > 'Controleren op updates' om uw versie bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting

Met dank aan

Anonymous in samenwerking met Trend Micro Zero Day Initiative

Een probleem aangepakt dat leidt tot gedeeltelijke verwijdering van informatie.
Houd er rekening mee dat het probleem optreedt onder de volgende omstandigheden:

Wanneer u de volgende getroffen versies gebruikt:

Windows-editorversies: PDF Editor v13.0 - v13.1.2 en PDF Editor v2023.2 - v2024.2.2; en
Mac-editorversies: PDF Editor v2024.1, v2024.2, v2024.2.1, v2024.2.2;

Wanneer u de functie "Zoeken en Redigeren" of "Slim Redigeren" gebruikt (het probleem heeft geen invloed op de handmatige markering van tekst en afbeeldingen vóór het redigeren);
Wanneer uw zoektekst meerdere woorden met een spatie bevat; en
Wanneer uw zoektekst binnen hetzelfde tekstobject een teken bevat dat groter is dan uw zoektekst binnen hetzelfde tekstobject. Het probleem doet zich niet voor als het teken deel uitmaakt van de zoekterm.

Alle 4 de voorwaarden moeten tegelijkertijd worden voldaan om dit probleem te repliceren.

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Editor 12.1.7

Releasedatum: 26 mei 2024

Platform: Windows

Samenvatting

Foxit heeft Foxit PDF Editor 12.1.7 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor (voorheen Foxit PhantomPDF)	12.1.6.15509 en alle eerdere 12.x-versies, 11.2.9.53938 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor klikt u op 'Help' >'Over Foxit PDF Editor' > 'Controleren op updates' om bij te werken naar de recenste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Een potentieel probleem aangepakt waarbij de applicatie kon worden blootgesteld aan verborgen gevaren die op de loer lagen in veelgebruikte tools bij het openen van bepaalde PDF's die de actie Bestand openen bevatten, waarvan aanvallers misbruik konden maken om gebruikers te misleiden tot het uitvoeren van schadelijke opdrachten. Dit wordt weergegeven in het dialoogvenster met beveiligingswaarschuwingen omdat "OK" als standaard geselecteerde optie wordt weergegeven, wat ertoe kan leiden dat gebruikers gewoonlijk op "OK" klikken zonder de mogelijke risico's te begrijpen.	Haifei Li van EXPMON en @SquiblydooBlog Check Point Research (CPR)
Potentiële problemen aangepakt waarbij de applicatie kon worden blootgesteld aan de kwetsbaarheid Time-of-Check Time-of-Use (TOCTOU) Race Condition of Privilege Escalation bij het uitvoeren van een update, die aanvallers konden misbruiken om privilege-escalatieaanvallen uit te voeren door het updatebestand te vervangen door een schadelijk bestand. Dit gebeurt als de applicatie het certificaat van het updateprogramma niet goed valideert of de machtigingen van het updatebestand niet vergrendelt na validatie van het certificaat. (CVE-2024-29072)	Haboob Labs KPC van Cisco Talos

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Editor 11.2.10

Releasedatum: 26 mei 2024

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Editor 11.2.10 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor (voorheen Foxit PhantomPDF)	11.2.9.53938 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Editor' > 'Controleren op updates' om uw versie bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Een potentieel probleem aangepakt waarbij de applicatie kon worden blootgesteld aan verborgen gevaren die op de loer lagen in veelgebruikte tools bij het openen van bepaalde PDF's die de actie Bestand openen bevatten, waarvan aanvallers misbruik konden maken om gebruikers te misleiden tot het uitvoeren van schadelijke opdrachten. Dit wordt weergegeven in het dialoogvenster met beveiligingswaarschuwingen omdat "OK" als standaard geselecteerde optie wordt weergegeven, wat ertoe kan leiden dat gebruikers gewoonlijk op "OK" klikken zonder de mogelijke risico's te begrijpen.	Haifei Li van EXPMON en @SquiblydooBlog Check Point Research (CPR)
Potentiële problemen aangepakt waarbij de applicatie kon worden blootgesteld aan de kwetsbaarheid Time-of-Check Time-of-Use (TOCTOU) Race Condition of Privilege Escalation bij het uitvoeren van een update, die aanvallers konden misbruiken om privilege-escalatieaanvallen uit te voeren door het updatebestand te vervangen door een schadelijk bestand. Dit gebeurt als de applicatie het certificaat van het updateprogramma niet goed valideert of de machtigingen van het updatebestand niet vergrendelt na validatie van het certificaat. (CVE-2024-29072)	Haboob Labs KPC van Cisco Talos

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Editor 13.1.2

Releasedatum: 25 mei 2024

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Editor 13.1.2 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor (voorheen Foxit PhantomPDF)	13.1.1.22432 en alle eerdere 13.x-versies, 12.1.6.15509 en alle eerdere 12.x-versies, 11.2.9.53938 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Editor' > 'Controleren op updates' om uw versie bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Een potentieel probleem aangepakt waarbij de applicatie kon worden blootgesteld aan verborgen gevaren die op de loer lagen in veelgebruikte tools bij het openen van bepaalde PDF's die de actie Bestand openen bevatten, waarvan aanvallers misbruik konden maken om gebruikers te misleiden tot het uitvoeren van schadelijke opdrachten. Dit wordt weergegeven in het dialoogvenster met beveiligingswaarschuwingen omdat "OK" als standaard geselecteerde optie wordt weergegeven, wat ertoe kan leiden dat gebruikers gewoonlijk op "OK" klikken zonder de mogelijke risico's te begrijpen.	Haifei Li van EXPMON en @SquiblydooBlog Check Point Research (CPR)
Potentiële problemen aangepakt waarbij de applicatie kon worden blootgesteld aan de kwetsbaarheid Time-of-Check Time-of-Use (TOCTOU) Race Condition of Privilege Escalation bij het uitvoeren van een update, die aanvallers konden misbruiken om privilege-escalatieaanvallen uit te voeren door het updatebestand te vervangen door een schadelijk bestand. Dit gebeurt als de applicatie het certificaat van het updateprogramma niet goed valideert of de machtigingen van het updatebestand niet vergrendelt na validatie van het certificaat. (CVE-2024-29072)	Haboob Labs KPC van Cisco Talos

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 13.1.2

Releasedatum: 25 mei 2024

Platform: macOS

Samenvatting

Foxit heeft Foxit PDF Editor voor Mac 13.1.2 uitgebracht, die mogelijke beveiligings- en stabiliteitsproblemen verhelpen.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	13.1.1.62190 en alle eerdere 13.x-versies, 12.1.4.55444 en alle eerdere 12.x-versies, 11.1.8.0513 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor voor Mac klikt u op Help > Over Foxit PDF Editor > Controleren op updates (in versie 11 en ouder klikt u op Help > Controleren op updates) om bij te werken naar de recenste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting

Met dank aan

Een potentieel probleem aangepakt waarbij de applicatie kon worden blootgesteld aan verborgen gevaren die op de loer lagen in veelgebruikte tools bij het openen van bepaalde PDF's die de actie Bestand openen bevatten, waarvan aanvallers misbruik konden maken om gebruikers te misleiden tot het uitvoeren van schadelijke opdrachten. Dit wordt weergegeven in het dialoogvenster met beveiligingswaarschuwingen omdat "OK" als standaard geselecteerde optie wordt weergegeven, wat ertoe kan leiden dat gebruikers gewoonlijk op "OK" klikken zonder de mogelijke risico's te begrijpen.

Haifei Li van EXPMON en @SquiblydooBlog
Check Point Research (CPR)

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 12.1.5

Releasedatum: 25 mei 2024

Platform: macOS

Samenvatting

Foxit heeft Foxit PDF Editor voor Mac 12.1.5 uitgebracht, die mogelijke beveiligings- en stabiliteitsproblemen verhelpen.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	12.1.4.55444 en alle eerdere 12.x-versies, 11.1.8.0513 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor voor Mac klikt u op Help > Over Foxit PDF Editor > Controleren op updates (in versie 11 en ouder klikt u op Help > Controleren op updates) om bij te werken naar de recenste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting

Met dank aan

Haifei Li van EXPMON en @SquiblydooBlog
Check Point Research (CPR)

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 11.1.9

Releasedatum: 25 mei 2024

Platform: macOS

Overzicht

Foxit heeft Foxit PDF Editor voor Mac 11.1.9 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	11.1.8.0513 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit PDF Editor voor Mac op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting

Met dank aan

Haifei Li van EXPMON en @SquiblydooBlog
Check Point Research (CPR)

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Reader 2024.2.2 en Foxit PDF Editor 2024.2.2

Releasedatum: 24 mei 2024

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 2024.2.2 en Foxit PDF Editor 2024.2.2 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Reader (voorheen Foxit Reader)	2024.2.1.25153 en eerder	Windows
Foxit PDF Editor (voorheen Foxit PhantomPDF)	2024.2.1.25153 en alle eerdere 2024.x-versies, 2023.3.0.23028 en alle eerdere 2023.x-versies, 13.1.1.22432 en alle eerdere 13.x-versies, 12.1.6.15509 en alle eerdere 12.x-versies, 11.2.9.53938 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

(In versie 2023.1 en hoger) In Foxit PDF Reader of Foxit PDF Editor klikt u op Help > Over Foxit PDF Reader of Over Foxit PDF Editor > Controleren op update om uw toepassing bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Een potentieel probleem aangepakt waarbij de applicatie kon worden blootgesteld aan verborgen gevaren die op de loer lagen in veelgebruikte tools bij het openen van bepaalde PDF's die de actie Bestand openen bevatten, waarvan aanvallers misbruik konden maken om gebruikers te misleiden tot het uitvoeren van schadelijke opdrachten. Dit wordt weergegeven in het dialoogvenster met beveiligingswaarschuwingen omdat "OK" als standaard geselecteerde optie wordt weergegeven, wat ertoe kan leiden dat gebruikers gewoonlijk op "OK" klikken zonder de mogelijke risico's te begrijpen.	Haifei Li van EXPMON en @SquiblydooBlog Check Point Research (CPR)
Potentiële problemen aangepakt waarbij de applicatie kon worden blootgesteld aan de kwetsbaarheid Time-of-Check Time-of-Use (TOCTOU) Race Condition of Privilege Escalation bij het uitvoeren van een update, die aanvallers konden misbruiken om privilege-escalatieaanvallen uit te voeren door het updatebestand te vervangen door een schadelijk bestand. Dit gebeurt als de applicatie het certificaat van het updateprogramma niet goed valideert of de machtigingen van het updatebestand niet vergrendelt na validatie van het certificaat. (CVE-2024-29072)	Haboob Labs KPC van Cisco Talos

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 2024.2.2 en Foxit PDF Reader voor Mac 2024.2.2

Releasedatum: 24 mei 2024

Platform: macOS

Samenvatting

Foxit heeft Foxit PDF Editor voor Mac 2024.2.2 en Foxit PDF Reader voor Mac 2024.2.2 uitgebracht, die mogelijke beveiligings- en stabiliteitsproblemen verhelpen.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	2024.2.1.64379 en alle eerdere 2024.x-versies, 2023.3.0.63083 en alle eerdere 2023.x-versies, 13.1.1.62190 en alle eerdere 13.x-versies, 12.1.4.55444 en alle eerdere 12.x-versies, 11.1.8.0513 en eerder	macOS
Foxit PDF Reader voor Mac (voorheen Foxit Reader Mac)	2024.2.1.64379 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

(In versie 2023.1 en hoger) In Foxit PDF Reader voor Mac of Foxit PDF Editor voor Mac klikt u op Help > Over Foxit PDF Reader of Over Foxit PDF Editor > Controleren op updates om de toepassing bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader voor Mac van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting

Met dank aan

Haifei Li van EXPMON en @SquiblydooBlog
Check Point Research (CPR)

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Reader 2024.2 en Foxit PDF Editor 2024.2

Releasedatum: 28 april 2024

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 2024.2 en Foxit PDF Editor 2024.2 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Reader (voorheen Foxit Reader)	2024.1.0.23997 en eerder	Windows
Foxit PDF Editor (voorheen Foxit PhantomPDF)	2024.1.0.23997, 2023.3.0.23028 en alle eerdere 2023.x-versies, 13.0.1.21693 en alle eerdere 13.x-versies, 12.1.4.15400 en alle eerdere 12.x-versies, 11.2.8.53842 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

(In versie 2023.1 en hoger) In Foxit PDF Reader of Foxit PDF Editor klikt u op Help > Over Foxit PDF Reader of Over Foxit PDF Editor > Controleren op update om uw toepassing bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting

Met dank aan

Potentiële problemen aangepakt waarbij de applicatie kon worden blootgesteld aan een User-After-Free- of Type Confusion-kwetsbaarheid en crashte bij het openen van bepaalde PDF-bestanden die JavaScripts bevatten, die aanvallers konden misbruiken om willekeurige code uit te voeren. Dit gebeurt door het gebruik van een object dat is verwijderd of vrijgegeven zonder juiste validatie. (CVE-2024-25938, CVE-2024-25648, CVE-2024-25575)

KPC van Cisco Talos

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 2024.2 en Foxit PDF Reader voor Mac 2024.2

Releasedatum: 28 april 2024

Platform: macOS

Samenvatting

Foxit heeft Foxit PDF Editor voor Mac 2024.2 en Foxit PDF Reader voor Mac 2024.2 uitgebracht, die mogelijke beveiligings- en stabiliteitsproblemen verhelpen.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	2024.1.0.63682, 2023.3.0.63083 en alle eerdere 2023.x-versies, 13.0.1.61866 en alle eerdere 13.x-versies, 12.1.2.55366 en alle eerdere 12.x-versies, 11.1.6.0109 en eerder	macOS
Foxit PDF Reader voor Mac (voorheen Foxit Reader Mac)	2024.1.0.63682 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

(In versie 2023.1 en hoger) In Foxit PDF Reader voor Mac of Foxit PDF Editor voor Mac klikt u op Help > Over Foxit PDF Reader of Over Foxit PDF Editor > Controleren op updates om de toepassing bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader voor Mac van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Potentiële problemen aangepakt waarbij de applicatie kon worden blootgesteld aan een User-After-Free-kwetsbaarheid en crashte bij het openen van bepaalde PDF-bestanden die JavaScripts bevatten, die aanvallers konden misbruiken om willekeurige code uit te voeren. Dit gebeurt door het gebruik van een object dat is verwijderd of vrijgegeven zonder juiste validatie. (CVE-2024-25648)	KPC van Cisco Talos

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 13.1

Releasedatum: 28 april 2024

Platform: macOS

Samenvatting

Foxit heeft Foxit PDF Editor voor Mac 13.1 uitgebracht, die mogelijke beveiligings- en stabiliteitsproblemen verhelpen.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	13.0.1.61866 en alle eerdere 13.x-versies, 12.1.2.55366 en alle eerdere 12.x-versies, 11.1.6.0109 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor voor Mac klikt u op Help > Over Foxit PDF Editor > Controleren op updates (in versie 11 en ouder klikt u op Help > Controleren op updates) om bij te werken naar de recenste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Potentiële problemen aangepakt waarbij de applicatie kon worden blootgesteld aan een Use-After-Free-, Out-of-Bounds Read- of Type Confusion-kwetsbaarheid en crashte bij het openen van bepaalde PDF-bestanden die JavaScripts bevatten, of bij het analyseren van bepaalde Doc-, Annotation-, Signature- of AcroForm-objecten, die aanvallers konden misbruiken om externe code uit te voeren. Dit gebeurt door het gebruik van een wildpointer, geheugen of object dat is verwijderd of vrijgegeven zonder juiste validatie. (CVE-2024-30324, CVE-2024-30327, CVE-2024-30328, CVE-2024-30331, CVE-2024-30336, CVE-2024-30342, CVE-2024-30343, CVE-2024-30344, CVE-2024-30345, CVE-2024-30346, CVE-2024-30351, CVE-2024-30357, CVE-2024-30348, CVE-2024-30363, CVE-2024-25938, CVE-2024-25648, CVE-2024-25575)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Jacky So Jinxin van Qihoo 360 KPC van Cisco Talos
Potentiële problemen aangepast waarbij de toepassing kon worden blootgesteld aan Out-of-Bounds Read/Write-kwetsbaarheden en kon crashen bij het verwerken van bepaalde U3D-bestanden of Doc-objecten, die aanvallers kunnen misbruiken om externe code uit te voeren of informatie openbaar te maken. Dit gebeurt wanneer de toepassing gegevens leest of schrijft buiten de grenzen van een toegewezen object/buffer, of wanneer de toepassing een pointer gebruikt die niet overeenkomt met het objecttype. (CVE-2024-30361, CVE-2024-30362, CVE-2024-30354, CVE-2024-30365, CVE-2024-30366)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Mogelijke problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-kwetsbaarheid en kon crashen bij het afspelen van multimedia in bepaalde PDF-bestanden, die aanvallers konden uitbuiten om een denial of service-aanval uit te voeren. Dit gebeurt door het gebruik van een null pointer zonder juiste validatie, omdat de toepassing niet op de juiste manier omgaat met de situatie waarin het canvas is ingesteld op nul in breedte en lengte of waarin de "/S"-woordenboekvermelding voor het weergaveobject is gewijzigd.	Milan Kyselica

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 12.1.3

Releasedatum: 28 april 2024

Platform: macOS

Samenvatting

Foxit heeft Foxit PDF Editor voor Mac 12.1.3 uitgebracht, die mogelijke beveiligings- en stabiliteitsproblemen verhelpen.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	12.1.2.55366 en alle eerdere 12.x-versies, 11.1.6.0109 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor voor Mac klikt u op Help > Over Foxit PDF Editor > Controleren op updates (in versie 11 en ouder klikt u op Help > Controleren op updates) om bij te werken naar de recenste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Potentiële problemen aangepakt waarbij de applicatie kon worden blootgesteld aan een Use-After-Free-, Out-of-Bounds Read- of Type Confusion-kwetsbaarheid en crashte bij het openen van bepaalde PDF-bestanden die JavaScripts bevatten, of bij het analyseren van bepaalde Doc-, Annotation-, Signature- of AcroForm-objecten, die aanvallers konden misbruiken om externe code uit te voeren. Dit gebeurt door het gebruik van een wildpointer, geheugen of object dat is verwijderd of vrijgegeven zonder juiste validatie. (CVE-2024-30324, CVE-2024-30327, CVE-2024-30328, CVE-2024-30331, CVE-2024-30336, CVE-2024-30342, CVE-2024-30343, CVE-2024-30344, CVE-2024-30345, CVE-2024-30346, CVE-2024-30351, CVE-2024-30357, CVE-2024-30348, CVE-2024-30363, CVE-2024-25938, CVE-2024-25648, CVE-2024-25575)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Jacky So Jinxin van Qihoo 360 KPC van Cisco Talos
Potentiële problemen aangepast waarbij de toepassing kon worden blootgesteld aan Out-of-Bounds Read/Write-kwetsbaarheden en kon crashen bij het verwerken van bepaalde U3D-bestanden of Doc-objecten, die aanvallers kunnen misbruiken om externe code uit te voeren of informatie openbaar te maken. Dit gebeurt wanneer de toepassing gegevens leest of schrijft buiten de grenzen van een toegewezen object/buffer, of wanneer de toepassing een pointer gebruikt die niet overeenkomt met het objecttype. (CVE-2024-30361, CVE-2024-30362, CVE-2024-30354, CVE-2024-30365, CVE-2024-30366)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Mogelijke problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-kwetsbaarheid en kon crashen bij het afspelen van multimedia in bepaalde PDF-bestanden, die aanvallers konden uitbuiten om een denial of service-aanval uit te voeren. Dit gebeurt door het gebruik van een null pointer zonder juiste validatie, omdat de toepassing niet op de juiste manier omgaat met de situatie waarin het canvas is ingesteld op nul in breedte en lengte of waarin de "/S"-woordenboekvermelding voor het weergaveobject is gewijzigd.	Milan Kyselica

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 11.1.7

Releasedatum: 28 april 2024

Platform: macOS

Overzicht

Foxit heeft Foxit PDF Editor voor Mac 11.1.7 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	11.1.6.0109 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit PDF Editor voor Mac op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Potentiële problemen aangepakt waarbij de applicatie kon worden blootgesteld aan een Use-After-Free-, Out-of-Bounds Read- of Type Confusion-kwetsbaarheid en crashte bij het openen van bepaalde PDF-bestanden die JavaScripts bevatten, of bij het analyseren van bepaalde Doc-, Annotation-, Signature- of AcroForm-objecten, die aanvallers konden misbruiken om externe code uit te voeren. Dit gebeurt door het gebruik van een wildpointer, geheugen of object dat is verwijderd of vrijgegeven zonder juiste validatie. (CVE-2024-30324, CVE-2024-30327, CVE-2024-30328, CVE-2024-30331, CVE-2024-30336, CVE-2024-30342, CVE-2024-30343, CVE-2024-30344, CVE-2024-30345, CVE-2024-30346, CVE-2024-30351, CVE-2024-30357, CVE-2024-30348, CVE-2024-30363, CVE-2024-25938, CVE-2024-25648, CVE-2024-25575)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Jacky So Jinxin van Qihoo 360 KPC van Cisco Talos
Potentiële problemen aangepast waarbij de toepassing kon worden blootgesteld aan Out-of-Bounds Read/Write-kwetsbaarheden en kon crashen bij het verwerken van bepaalde U3D-bestanden of Doc-objecten, die aanvallers kunnen misbruiken om externe code uit te voeren of informatie openbaar te maken. Dit gebeurt wanneer de toepassing gegevens leest of schrijft buiten de grenzen van een toegewezen object/buffer, of wanneer de toepassing een pointer gebruikt die niet overeenkomt met het objecttype. (CVE-2024-30361, CVE-2024-30362, CVE-2024-30354, CVE-2024-30365, CVE-2024-30366)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Mogelijke problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-kwetsbaarheid en kon crashen bij het afspelen van multimedia in bepaalde PDF-bestanden, die aanvallers konden uitbuiten om een denial of service-aanval uit te voeren. Dit gebeurt door het gebruik van een null pointer zonder juiste validatie, omdat de toepassing niet op de juiste manier omgaat met de situatie waarin het canvas is ingesteld op nul in breedte en lengte of waarin de "/S"-woordenboekvermelding voor het weergaveobject is gewijzigd.	Milan Kyselica

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Editor 13.1

Releasedatum: 28 april 2024

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Editor 13.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor (voorheen Foxit PhantomPDF)	13.0.1.21693 en alle eerdere 13.x-versies, 12.1.4.15400 en alle eerdere 12.x-versies, 11.2.8.53842 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om uw versie bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Potentiële problemen aangepakt waarbij de applicatie kon worden blootgesteld aan een User-After-Free- of Type Confusion-kwetsbaarheid en crashte bij het openen van bepaalde PDF-bestanden die JavaScripts bevatten, die aanvallers konden misbruiken om willekeurige code uit te voeren. Dit gebeurt door het gebruik van een object dat is verwijderd of vrijgegeven zonder juiste validatie. (CVE-2024-25938, CVE-2024-25648, CVE-2024-25575)	KPC van Cisco Talos
Potentieel probleem verholpen waarbij de toepassing kon worden blootgesteld aan een kwetsbaarheid voor Arbitrary Code Execution bij het uitvoeren van bepaalde JavaScripts, waarbij aanvallers misbruik konden maken om gebruikers te verleiden opdrachten met kwaadaardige parameters uit te voeren. De toepassing heeft de promptmelding geoptimaliseerd om gebruikers in staat te stellen de volledige parameters te bekijken voordat ze opdrachten uitvoeren. (CVE-2024-25858)	Kaushik Pal, Cyber Threat Intelligence bij CYFIRMA
Mogelijke problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Use-After-Free- of Out-of-Bounds Read-kwetsbaarheid en kon crashen bij het parseren van bepaalde PDF-bestanden of het omgaan met bepaalde Doc-, Annotation-, Signature- of AcroForm-objecten, die aanvallers konden uitbuiten om externe code uit te voeren of informatie vrij te geven. Dit komt door het gebruik van de wilde pointer, geheugen of een object dat is verwijderd of vrijgegeven zonder juiste validatie. (CVE-2024-30322, CVE-2024-30324, CVE-2024-30325, CVE-2024-30326, CVE-2024-30327, CVE-2024-30328, CVE-2024-30329, CVE-2024-30330, CVE-2024-30331, CVE-2024-30332, CVE-2024-30333, CVE-2024-30334, CVE-2024-30335, CVE-2024-30336, CVE-2024-30337, CVE-2024-30338, CVE-2024-30339, CVE-2024-30340, CVE-2024-30342, CVE-2024-30343, CVE-2024-30344, CVE-2024-30345, CVE-2024-30346, CVE-2024-30347, CVE-2024-30350, CVE-2024-30351, CVE-2024-30352, CVE-2024-30353, CVE-2024-30355, CVE-2024-30357, CVE-2024-30348, CVE-2024-30358, CVE-2024-30349, CVE-2024-30363, CVE-2024-30364, CVE-2024-30367, CVE-2024-30371)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Jacky So Jinxin van Qihoo 360
Mogelijke problemen aangepakt waarbij de toepassing kon worden blootgesteld aan Out-of-Bounds Read/Write-kwetsbaarheid en kon crashen bij het verwerken van bepaalde U3D-bestanden, Doc-objecten, of 3D-objecten in AcroForms, die aanvallers konden uitbuiten om externe code uit te voeren of informatie vrij te geven. Dit gebeurt wanneer de toepassing een oneindige lus tegenkomt bij het doorlopen van objecten met een circulaire verwijzing, gegevens leest of schrijft buiten de grenzen van een toegewezen object/buffer, of de pointer converteert en gebruikt die niet overeenkomt met het objecttype. (CVE-2024-30323, CVE-2024-30360, CVE-2024-30361, CVE-2024-30362, CVE-2024-30341, CVE-2024-30354, CVE-2024-30359, CVE-2024-30365, CVE-2024-30366)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Potentieel probleem verholpen waarbij de toepassing kon worden blootgesteld aan een kwetsbaarheid voor Lokale Privilege Escalation bij het controleren op updates, die aanvallers konden uitbuiten om kwaadaardige DLL-bestanden uit te voeren. Dit gebeurt vanwege de zwakke machtigingen op de map waarin de updateservice wordt uitgevoerd. (CVE-2024-32488)	Alexander Staalgaard van Banshie
Mogelijke problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-kwetsbaarheid en kon crashen bij het afspelen van multimedia in bepaalde PDF-bestanden, die aanvallers konden uitbuiten om een denial of service-aanval uit te voeren. Dit gebeurt door het gebruik van een null pointer zonder juiste validatie, omdat de toepassing niet op de juiste manier omgaat met de situatie waarin het canvas is ingesteld op nul in breedte en lengte of waarin de "/S"-woordenboekvermelding voor het weergaveobject is gewijzigd.	Milan Kyselica
Potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Type Confusion-kwetsbaarheid bij het verwerken van bepaalde annotatie-objecten, die aanvallers kunnen misbruiken om externe code uit te voeren. Dit gebeurt doordat de toepassing het annotatie-object dat een niet-standaard DS-veld bevat in de annotatiewoordenboekvermelding, onjuist behandelt met een type dat incompatibel is met het beoogde type. (CVE-2024-30356)	Anonymous in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Editor 12.1.5

Releasedatum: 28 april 2024

Platform: Windows

Samenvatting

Foxit heeft Foxit PDF Editor 12.1.5 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor	12.1.4.15400 en alle eerdere 12.x-versies, 11.2.8.53842 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor klikt u op 'Help' >'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om bij te werken naar de recenste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Potentiële problemen aangepakt waarbij de applicatie kon worden blootgesteld aan een User-After-Free- of Type Confusion-kwetsbaarheid en crashte bij het openen van bepaalde PDF-bestanden die JavaScripts bevatten, die aanvallers konden misbruiken om willekeurige code uit te voeren. Dit gebeurt door het gebruik van een object dat is verwijderd of vrijgegeven zonder juiste validatie. (CVE-2024-25938, CVE-2024-25648, CVE-2024-25575)	KPC van Cisco Talos
Potentieel probleem verholpen waarbij de toepassing kon worden blootgesteld aan een kwetsbaarheid voor Arbitrary Code Execution bij het uitvoeren van bepaalde JavaScripts, waarbij aanvallers misbruik konden maken om gebruikers te verleiden opdrachten met kwaadaardige parameters uit te voeren. De toepassing heeft de promptmelding geoptimaliseerd om gebruikers in staat te stellen de volledige parameters te bekijken voordat ze opdrachten uitvoeren. (CVE-2024-25858)	Kaushik Pal, Cyber Threat Intelligence bij CYFIRMA
Mogelijke problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Use-After-Free- of Out-of-Bounds Read-kwetsbaarheid en kon crashen bij het parseren van bepaalde PDF-bestanden of het omgaan met bepaalde Doc-, Annotation-, Signature- of AcroForm-objecten, die aanvallers konden uitbuiten om externe code uit te voeren of informatie vrij te geven. Dit komt door het gebruik van de wilde pointer, geheugen of een object dat is verwijderd of vrijgegeven zonder juiste validatie. (CVE-2024-30322, CVE-2024-30324, CVE-2024-30325, CVE-2024-30326, CVE-2024-30327, CVE-2024-30328, CVE-2024-30329, CVE-2024-30330, CVE-2024-30331, CVE-2024-30332, CVE-2024-30333, CVE-2024-30334, CVE-2024-30335, CVE-2024-30336, CVE-2024-30337, CVE-2024-30338, CVE-2024-30339, CVE-2024-30340, CVE-2024-30342, CVE-2024-30343, CVE-2024-30344, CVE-2024-30345, CVE-2024-30346, CVE-2024-30347, CVE-2024-30350, CVE-2024-30351, CVE-2024-30352, CVE-2024-30353, CVE-2024-30355, CVE-2024-30357, CVE-2024-30348, CVE-2024-30358, CVE-2024-30349, CVE-2024-30363, CVE-2024-30364, CVE-2024-30367, CVE-2024-30371)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Jacky So Jinxin van Qihoo 360
Mogelijke problemen aangepakt waarbij de toepassing kon worden blootgesteld aan Out-of-Bounds Read/Write-kwetsbaarheid en kon crashen bij het verwerken van bepaalde U3D-bestanden, Doc-objecten, of 3D-objecten in AcroForms, die aanvallers konden uitbuiten om externe code uit te voeren of informatie vrij te geven. Dit gebeurt wanneer de toepassing een oneindige lus tegenkomt bij het doorlopen van objecten met een circulaire verwijzing, gegevens leest of schrijft buiten de grenzen van een toegewezen object/buffer, of de pointer converteert en gebruikt die niet overeenkomt met het objecttype. (CVE-2024-30323, CVE-2024-30360, CVE-2024-30361, CVE-2024-30362, CVE-2024-30341, CVE-2024-30354, CVE-2024-30359, CVE-2024-30365, CVE-2024-30366)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Potentieel probleem verholpen waarbij de toepassing kon worden blootgesteld aan een kwetsbaarheid voor Lokale Privilege Escalation bij het controleren op updates, die aanvallers konden uitbuiten om kwaadaardige DLL-bestanden uit te voeren. Dit gebeurt vanwege de zwakke machtigingen op de map waarin de updateservice wordt uitgevoerd. (CVE-2024-32488)	Alexander Staalgaard van Banshie
Mogelijke problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-kwetsbaarheid en kon crashen bij het afspelen van multimedia in bepaalde PDF-bestanden, die aanvallers konden uitbuiten om een denial of service-aanval uit te voeren. Dit gebeurt door het gebruik van een null pointer zonder juiste validatie, omdat de toepassing niet op de juiste manier omgaat met de situatie waarin het canvas is ingesteld op nul in breedte en lengte of waarin de "/S"-woordenboekvermelding voor het weergaveobject is gewijzigd.	Milan Kyselica
Potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Type Confusion-kwetsbaarheid bij het verwerken van bepaalde annotatie-objecten, die aanvallers kunnen misbruiken om externe code uit te voeren. Dit gebeurt doordat de toepassing het annotatie-object dat een niet-standaard DS-veld bevat in de annotatiewoordenboekvermelding, onjuist behandelt met een type dat incompatibel is met het beoogde type. (CVE-2024-30356)	Anonymous in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Editor 11.2.9

Releasedatum: 28 april 2024

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Editor 11.2.9 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor	11.2.8.53842 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om uw versie bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Potentiële problemen aangepakt waarbij de applicatie kon worden blootgesteld aan een User-After-Free- of Type Confusion-kwetsbaarheid en crashte bij het openen van bepaalde PDF-bestanden die JavaScripts bevatten, die aanvallers konden misbruiken om willekeurige code uit te voeren. Dit gebeurt door het gebruik van een object dat is verwijderd of vrijgegeven zonder juiste validatie. (CVE-2024-25938, CVE-2024-25648, CVE-2024-25575)	KPC van Cisco Talos
Potentieel probleem verholpen waarbij de toepassing kon worden blootgesteld aan een kwetsbaarheid voor Arbitrary Code Execution bij het uitvoeren van bepaalde JavaScripts, waarbij aanvallers misbruik konden maken om gebruikers te verleiden opdrachten met kwaadaardige parameters uit te voeren. De toepassing heeft de promptmelding geoptimaliseerd om gebruikers in staat te stellen de volledige parameters te bekijken voordat ze opdrachten uitvoeren. (CVE-2024-25858)	Kaushik Pal, Cyber Threat Intelligence bij CYFIRMA
Mogelijke problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Use-After-Free- of Out-of-Bounds Read-kwetsbaarheid en kon crashen bij het parseren van bepaalde PDF-bestanden of het omgaan met bepaalde Doc-, Annotation-, Signature- of AcroForm-objecten, die aanvallers konden uitbuiten om externe code uit te voeren of informatie vrij te geven. Dit komt door het gebruik van de wilde pointer, geheugen of een object dat is verwijderd of vrijgegeven zonder juiste validatie. (CVE-2024-30322, CVE-2024-30324, CVE-2024-30325, CVE-2024-30326, CVE-2024-30327, CVE-2024-30328, CVE-2024-30329, CVE-2024-30330, CVE-2024-30331, CVE-2024-30332, CVE-2024-30333, CVE-2024-30334, CVE-2024-30335, CVE-2024-30336, CVE-2024-30337, CVE-2024-30338, CVE-2024-30339, CVE-2024-30340, CVE-2024-30342, CVE-2024-30343, CVE-2024-30344, CVE-2024-30345, CVE-2024-30346, CVE-2024-30347, CVE-2024-30350, CVE-2024-30351, CVE-2024-30352, CVE-2024-30353, CVE-2024-30355, CVE-2024-30357, CVE-2024-30348, CVE-2024-30358, CVE-2024-30349, CVE-2024-30363, CVE-2024-30364, CVE-2024-30367, CVE-2024-30371)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Jacky So Jinxin van Qihoo 360
Mogelijke problemen aangepakt waarbij de toepassing kon worden blootgesteld aan Out-of-Bounds Read/Write-kwetsbaarheid en kon crashen bij het verwerken van bepaalde U3D-bestanden, Doc-objecten, of 3D-objecten in AcroForms, die aanvallers konden uitbuiten om externe code uit te voeren of informatie vrij te geven. Dit gebeurt wanneer de toepassing een oneindige lus tegenkomt bij het doorlopen van objecten met een circulaire verwijzing, gegevens leest of schrijft buiten de grenzen van een toegewezen object/buffer, of de pointer converteert en gebruikt die niet overeenkomt met het objecttype. (CVE-2024-30323, CVE-2024-30360, CVE-2024-30361, CVE-2024-30362, CVE-2024-30341, CVE-2024-30354, CVE-2024-30359, CVE-2024-30365, CVE-2024-30366)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Potentieel probleem verholpen waarbij de toepassing kon worden blootgesteld aan een kwetsbaarheid voor Lokale Privilege Escalation bij het controleren op updates, die aanvallers konden uitbuiten om kwaadaardige DLL-bestanden uit te voeren. Dit gebeurt vanwege de zwakke machtigingen op de map waarin de updateservice wordt uitgevoerd. (CVE-2024-32488)	Alexander Staalgaard van Banshie
Mogelijke problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-kwetsbaarheid en kon crashen bij het afspelen van multimedia in bepaalde PDF-bestanden, die aanvallers konden uitbuiten om een denial of service-aanval uit te voeren. Dit gebeurt door het gebruik van een null pointer zonder juiste validatie, omdat de toepassing niet op de juiste manier omgaat met de situatie waarin het canvas is ingesteld op nul in breedte en lengte of waarin de "/S"-woordenboekvermelding voor het weergaveobject is gewijzigd.	Milan Kyselica
Potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Type Confusion-kwetsbaarheid bij het verwerken van bepaalde annotatie-objecten, die aanvallers kunnen misbruiken om externe code uit te voeren. Dit gebeurt doordat de toepassing het annotatie-object dat een niet-standaard DS-veld bevat in de annotatiewoordenboekvermelding, onjuist behandelt met een type dat incompatibel is met het beoogde type. (CVE-2024-30356)	Anonymous in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Reader 2024.1 en Foxit PDF Editor 2024.1

Releasedatum: 5 maart 2024

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 2024.1 en Foxit PDF Editor 2024.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Reader (voorheen Foxit Reader)	2023.3.0.23028 en eerder	Windows
Foxit PDF Editor (voorheen Foxit PhantomPDF)	2023.3.0.23028 en alle eerdere 2023.x-versies, 13.0.1.21693 en alle eerdere 13.x-versies, 12.1.4.15400 en alle eerdere 12.x-versies, 11.2.8.53842 en alle eerdere 11.x-versies, 10.1.12.37872 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

(In versie 2023.1 en hoger) In Foxit PDF Reader of Foxit PDF Editor klikt u op Help > Over Foxit PDF Reader of Over Foxit PDF Editor > Controleren op update om uw toepassing bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Potentieel probleem verholpen waarbij de toepassing kon worden blootgesteld aan een kwetsbaarheid voor Arbitrary Code Execution bij het uitvoeren van bepaalde JavaScripts, waarbij aanvallers misbruik konden maken om gebruikers te verleiden opdrachten met kwaadaardige parameters uit te voeren. De toepassing heeft de promptmelding geoptimaliseerd om gebruikers in staat te stellen de volledige parameters te bekijken voordat ze opdrachten uitvoeren. (CVE-2024-25858)	Kaushik Pal, Cyber Threat Intelligence bij CYFIRMA
Mogelijke problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Use-After-Free- of Out-of-Bounds Read-kwetsbaarheid en kon crashen bij het parseren van bepaalde PDF-bestanden of het omgaan met bepaalde Doc-, Annotation-, Signature- of AcroForm-objecten, die aanvallers konden uitbuiten om externe code uit te voeren of informatie vrij te geven. Dit komt door het gebruik van de wilde pointer, geheugen of een object dat is verwijderd of vrijgegeven zonder juiste validatie. (CVE-2024-30322, CVE-2024-30324, CVE-2024-30325, CVE-2024-30326, CVE-2024-30327, CVE-2024-30328, CVE-2024-30329, CVE-2024-30330, CVE-2024-30331, CVE-2024-30332, CVE-2024-30333, CVE-2024-30334, CVE-2024-30335, CVE-2024-30336, CVE-2024-30337, CVE-2024-30338, CVE-2024-30339, CVE-2024-30340, CVE-2024-30342, CVE-2024-30343, CVE-2024-30344, CVE-2024-30345, CVE-2024-30346, CVE-2024-30347, CVE-2024-30350, CVE-2024-30351, CVE-2024-30352, CVE-2024-30353, CVE-2024-30355, CVE-2024-30357, CVE-2024-30348, CVE-2024-30358, CVE-2024-30349, CVE-2024-30363, CVE-2024-30364, CVE-2024-30367, CVE-2024-30371)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Jacky So Jinxin van Qihoo 360
Mogelijke problemen aangepakt waarbij de toepassing kon worden blootgesteld aan Out-of-Bounds Read/Write-kwetsbaarheid en kon crashen bij het verwerken van bepaalde U3D-bestanden, Doc-objecten, of 3D-objecten in AcroForms, die aanvallers konden uitbuiten om externe code uit te voeren of informatie vrij te geven. Dit gebeurt wanneer de toepassing een oneindige lus tegenkomt bij het doorlopen van objecten met een circulaire verwijzing, gegevens leest of schrijft buiten de grenzen van een toegewezen object/buffer, of de pointer converteert en gebruikt die niet overeenkomt met het objecttype. (CVE-2024-30323, CVE-2024-30360, CVE-2024-30361, CVE-2024-30362, CVE-2024-30341, CVE-2024-30354, CVE-2024-30359, CVE-2024-30365, CVE-2024-30366)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Potentieel probleem verholpen waarbij de toepassing kon worden blootgesteld aan een kwetsbaarheid voor Lokale Privilege Escalation bij het controleren op updates, die aanvallers konden uitbuiten om kwaadaardige DLL-bestanden uit te voeren. Dit gebeurt vanwege de zwakke machtigingen op de map waarin de updateservice wordt uitgevoerd.	Alexander Staalgaard van Banshie
Mogelijke problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-kwetsbaarheid en kon crashen bij het afspelen van multimedia in bepaalde PDF-bestanden, die aanvallers konden uitbuiten om een denial of service-aanval uit te voeren. Dit gebeurt door het gebruik van een null pointer zonder juiste validatie, omdat de toepassing niet op de juiste manier omgaat met de situatie waarin het canvas is ingesteld op nul in breedte en lengte of waarin de "/S"-woordenboekvermelding voor het weergaveobject is gewijzigd.	Milan Kyselica
Potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Type Confusion-kwetsbaarheid bij het verwerken van bepaalde annotatie-objecten, die aanvallers kunnen misbruiken om externe code uit te voeren. Dit gebeurt doordat de toepassing het annotatie-object dat een niet-standaard DS-veld bevat in de annotatiewoordenboekvermelding, onjuist behandelt met een type dat incompatibel is met het beoogde type. (CVE-2024-30356)	Anonymous in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 2024.1 en Foxit PDF Reader voor Mac 2024.1

Releasedatum: 5 maart 2024

Platform: macOS

Samenvatting

Foxit heeft Foxit PDF Editor voor Mac 2024.1 en Foxit PDF Reader voor Mac 2024.1 uitgebracht, die mogelijke beveiligings- en stabiliteitsproblemen verhelpen.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	2023.3.0.63083 en alle eerdere 2023.x-versies, 13.0.1.61866 en alle eerdere 13.x-versies, 12.1.2.55366 en alle eerdere 12.x-versies, 11.1.6.0109 en eerder	macOS
Foxit PDF Reader voor Mac (voorheen Foxit Reader Mac)	2023.3.0.63083 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

(In versie 2023.1 en hoger) In Foxit PDF Reader voor Mac of Foxit PDF Editor voor Mac klikt u op Help > Over Foxit PDF Reader of Over Foxit PDF Editor > Controleren op updates om de toepassing bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader voor Mac van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan Use-After-Free- of Out-of-Bounds Read-kwetsbaarheden en kon crashen bij het parseren van bepaalde Doc-, Annotation-, Signature- of AcroForm-objecten, die aanvallers kunnen misbruiken om externe code uit te voeren. Dit gebeurt door het gebruik van de wild pointer, geheugen of een object dat is verwijderd of vrijgegeven zonder de juiste validatie. (CVE-2024-30324, CVE-2024-30327, CVE-2024-30328, CVE-2024-30331, CVE-2024-30336, CVE-2024-30342, CVE-2024-30343, CVE-2024-30344, CVE-2024-30345, CVE-2024-30346, CVE-2024-30351, CVE-2024-30357, CVE-2024-30348, CVE-2024-30363)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Jacky So Jinxin van Qihoo 360
Potentiële problemen aangepast waarbij de toepassing kon worden blootgesteld aan Out-of-Bounds Read/Write-kwetsbaarheden en kon crashen bij het verwerken van bepaalde U3D-bestanden of Doc-objecten, die aanvallers kunnen misbruiken om externe code uit te voeren of informatie openbaar te maken. Dit gebeurt wanneer de toepassing gegevens leest of schrijft buiten de grenzen van een toegewezen object/buffer, of wanneer de toepassing een pointer gebruikt die niet overeenkomt met het objecttype. (CVE-2024-30361, CVE-2024-30362, CVE-2024-30354, CVE-2024-30365, CVE-2024-30366)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Mogelijke problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-kwetsbaarheid en kon crashen bij het afspelen van multimedia in bepaalde PDF-bestanden, die aanvallers konden uitbuiten om een denial of service-aanval uit te voeren. Dit gebeurt door het gebruik van een null pointer zonder juiste validatie, omdat de toepassing niet op de juiste manier omgaat met de situatie waarin het canvas is ingesteld op nul in breedte en lengte of waarin de "/S"-woordenboekvermelding voor het weergaveobject is gewijzigd.	Milan Kyselica

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Editor 12.1.4

Releasedatum: 22 januari 2024

Platform: Windows

Samenvatting

Foxit heeft Foxit PDF Editor 12.1.4 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor	12.1.3.15356 en alle eerdere 12.x-versies, 11.2.7.53812 en alle eerdere 11.x-versies, 10.1.12.37872 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor klikt u op 'Help' >'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om bij te werken naar de recenste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Use-After-Free-, Out-of-Bounds Read- of Type Confusion-kwetsbaarheid en kon crashen bij het verwerken van bepaalde Doc-, Graphic-, Signature-, Bookmark- of 3D annotation-objecten, die door aanvallers kunnen worden misbruikt om externe code uit te voeren of informatie te onthullen. Dit treedt op door het gebruik van null pointer, wild pointer of een object dat is verwijderd of vrijgegeven zonder de juiste validatie. (CVE-2023-51549, CVE-2023-51550, CVE-2023-51552, CVE-2023-51554, CVE-2023-51553, CVE-2023-32616, CVE-2023-41257, CVE-2023-38573, CVE-2023-51555, CVE-2023-51556, CVE-2023-51557, CVE-2023-51558, CVE-2023-51559, CVE-2023-51551, CVE-2023-51562)	XP van ZGCLab Anonymous in samenwerking met Trend Micro Zero Day Initiative Kamlapati Choubey van Cisco Talos Aleksandar Nikolic en KPC van Cisco Talos
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan de kwetsbaarheid voor Willekeurige bestandscreatie, die door aanvallers kan worden misbruikt om willekeurige code uit te voeren. Dit treedt op doordat de toepassing de uitvoerbare bestanden direct opent, omdat deze niet adequaat de bestandstypen identificeert die niet mogen worden geopend bij het verwerken van de exportDataObject-methode van het Doc-object. (CVE-2023-40194, CVE-2023-35985)	Kamlapati Choubey van Cisco Talos
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Use-After-Free- of Out-of-Bounds Write-kwetsbaarheid en kon crashen, wat door aanvallers kon worden misbruikt om willekeurige code uit te voeren. Dit treedt op door een GDI-geheugenoverloop, omdat de toepassing de gebruikersinvoer niet adequaat heeft verwerkt.	Suyue Guo, Wei You van Renmin University of China
Potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een kwetsbaarheid voor Willekeurige bestandsuitvoering bij het openen van bepaalde PDF-bestanden die de OpenAction-methode gebruiken met behulp van relatieve paden en path spoofing-technieken, wat door aanvallers kan worden misbruikt om gebruikers te misleiden om opdrachten uit te voeren om kwaadaardige code te verspreiden. De toepassing heeft het proces Bestand starten geoptimaliseerd, inclusief het verkrijgen van het absolute pad, het beperken van het uitvoeren van bestanden waarvan het bestandspad meer dan 260 tekens bevat, en het vergroten van het venster om het volledige pad (binnen 260 tekens) van het uit te voeren bestand weer te geven.	Anonieme onderzoeker
Potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Type Confusion-kwetsbaarheid en kon crashen bij het verwerken van bepaalde annotatieobjecten, die door aanvallers konden worden misbruikt om externe code uit te voeren. Dit komt doordat de toepassing pointers van verschillende typen zonder overervingsrelatie cast en gebruikt zonder de juiste validatie, wat leidt tot toegang tot ongeldig geheugen.(CVE-2023-51560)	Anonymous in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Use-After-Free en kon vastlopen bij het verwerken van bepaalde JavaScripts. Dit probleem had door aanvallers kunnen worden misbruikt om code op afstand uit te voeren of om informatie te onthullen. Dit komt door de inconsistentie tussen de geëxporteerde waarden en de weergavewaarden, omdat de toepassing niet goed omgaat met de keuzerondjecomponent waarvoor het weergavewoordenboek ontbreekt, of vanwege het gebruik van verwijderde objecten zonder de juiste validatie. (CVE-2023-42089, CVE-2023-42090, CVE-2023-42091, CVE-2023-42092, CVE-2023-42093, CVE-2023-42094, CVE-2023-42095, CVE-2023-42096, CVE-2023-42097, CVE-2023-42098)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Null Pointer Dereference, en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om een Denial of Service-aanval te starten. Dit doet zich voor omdat de toepassing de indirect verkregen objecten of lege waarden die door bepaalde interfaces worden geretourneerd, niet goed valideert bij het verwerken van bladwijzers of tekstannotaties in bepaalde PDF's.	XP van ZGCLab
Heeft een mogelijk probleem verholpen waarbij de toepassing tijdens de installatie kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode wanneer bepaalde JavaScripts worden verwerkt. Dit gebeurt omdat de toepassing er niet in slaagt de cPath-parameter in de saveAs-methode te valideren en daardoor gedwongen wordt naar de opstartmap te schrijven met een .hta-bestand dat na een herstart willekeurige code kan uitvoeren. (CVE-2023-39542)	Kamlapati Choubey van Cisco Talos

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Editor 11.2.8

Releasedatum: 22 januari 2024

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Editor 11.2.8 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor	11.2.7.53812 en alle eerdere 11.x-versies, 10.1.12.37872 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om uw versie bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Use-After-Free-, Out-of-Bounds Read- of Type Confusion-kwetsbaarheid en kon crashen bij het verwerken van bepaalde Doc-, Graphic-, Signature-, Bookmark- of 3D annotation-objecten, die door aanvallers kunnen worden misbruikt om externe code uit te voeren of informatie te onthullen. Dit treedt op door het gebruik van null pointer, wild pointer of een object dat is verwijderd of vrijgegeven zonder de juiste validatie. (CVE-2023-51549, CVE-2023-51550, CVE-2023-51552, CVE-2023-51554, CVE-2023-51553, CVE-2023-32616, CVE-2023-41257, CVE-2023-38573, CVE-2023-51555, CVE-2023-51556, CVE-2023-51557, CVE-2023-51558, CVE-2023-51559, CVE-2023-51551, CVE-2023-51562)	XP van ZGCLab Anonymous in samenwerking met Trend Micro Zero Day Initiative Kamlapati Choubey van Cisco Talos Aleksandar Nikolic en KPC van Cisco Talos
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan de kwetsbaarheid voor Willekeurige bestandscreatie, die door aanvallers kan worden misbruikt om willekeurige code uit te voeren. Dit treedt op doordat de toepassing de uitvoerbare bestanden direct opent, omdat deze niet adequaat de bestandstypen identificeert die niet mogen worden geopend bij het verwerken van de exportDataObject-methode van het Doc-object. (CVE-2023-40194, CVE-2023-35985)	Kamlapati Choubey van Cisco Talos
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Use-After-Free- of Out-of-Bounds Write-kwetsbaarheid en kon crashen, wat door aanvallers kon worden misbruikt om willekeurige code uit te voeren. Dit treedt op door een GDI-geheugenoverloop, omdat de toepassing de gebruikersinvoer niet adequaat heeft verwerkt.	Suyue Guo, Wei You van Renmin University of China
Potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een kwetsbaarheid voor Willekeurige bestandsuitvoering bij het openen van bepaalde PDF-bestanden die de OpenAction-methode gebruiken met behulp van relatieve paden en path spoofing-technieken, wat door aanvallers kan worden misbruikt om gebruikers te misleiden om opdrachten uit te voeren om kwaadaardige code te verspreiden. De toepassing heeft het proces Bestand starten geoptimaliseerd, inclusief het verkrijgen van het absolute pad, het beperken van het uitvoeren van bestanden waarvan het bestandspad meer dan 260 tekens bevat, en het vergroten van het venster om het volledige pad (binnen 260 tekens) van het uit te voeren bestand weer te geven.	Anonieme onderzoeker
Potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Type Confusion-kwetsbaarheid en kon crashen bij het verwerken van bepaalde annotatieobjecten, die door aanvallers konden worden misbruikt om externe code uit te voeren. Dit komt doordat de toepassing pointers van verschillende typen zonder overervingsrelatie cast en gebruikt zonder de juiste validatie, wat leidt tot toegang tot ongeldig geheugen.(CVE-2023-51560)	Anonymous in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Use-After-Free en kon vastlopen bij het verwerken van bepaalde JavaScripts. Dit probleem had door aanvallers kunnen worden misbruikt om code op afstand uit te voeren of om informatie te onthullen. Dit komt door de inconsistentie tussen de geëxporteerde waarden en de weergavewaarden, omdat de toepassing niet goed omgaat met de keuzerondjecomponent waarvoor het weergavewoordenboek ontbreekt, of vanwege het gebruik van verwijderde objecten zonder de juiste validatie. (CVE-2023-42089, CVE-2023-42090, CVE-2023-42091, CVE-2023-42092, CVE-2023-42093, CVE-2023-42094, CVE-2023-42095, CVE-2023-42096, CVE-2023-42097, CVE-2023-42098)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Null Pointer Dereference, en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om een Denial of Service-aanval te starten. Dit doet zich voor omdat de toepassing de indirect verkregen objecten of lege waarden die door bepaalde interfaces worden geretourneerd, niet goed valideert bij het verwerken van bladwijzers of tekstannotaties in bepaalde PDF's.	XP van ZGCLab
Heeft een mogelijk probleem verholpen waarbij de toepassing tijdens de installatie kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode wanneer bepaalde JavaScripts worden verwerkt. Dit gebeurt omdat de toepassing er niet in slaagt de cPath-parameter in de saveAs-methode te valideren en daardoor gedwongen wordt naar de opstartmap te schrijven met een .hta-bestand dat na een herstart willekeurige code kan uitvoeren. (CVE-2023-39542)	Kamlapati Choubey van Cisco Talos

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 12.1.2

Releasedatum: 17 januari 2024

Platform: macOS

Samenvatting

Foxit heeft Foxit PDF Editor voor Mac 12.1.2 uitgebracht, die mogelijke beveiligings- en stabiliteitsproblemen verhelpen.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	12.1.1.55342 en alle eerdere 12.x-versies, 11.1.5.0913 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor voor Mac klikt u op Help > Over Foxit PDF Editor > Controleren op updates (in versie 11 en ouder klikt u op Help > Controleren op updates) om bij te werken naar de recenste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan Use-After-Free- of Out-of-Bounds Read-kwetsbaarheden en kon crashen bij het verwerken van bepaalde Doc-, Graphic-, Signature- of Bookmark-objecten, die door aanvallers konden worden misbruikt om externe code uit te voeren of informatie openbaar te maken. Dit gebeurt doordat er gebruik wordt gemaakt van een nullpointer of een object dat is verwijderd of vrijgegeven zonder de juiste validatie. (CVE-2023-51554, CVE-2023-51553, CVE-2023-51555, CVE-2023-51559, CVE-2023-51551, CVE-2023-42089, CVE-2023-51550, CVE-2023-51562)	XP van ZGCLab Anonymous in samenwerking met Trend Micro Zero Day Initiative
Mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-kwetsbaarheid en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om een Denial of Service-aanval te veroorzaken. Dit gebeurt omdat de toepassing de lege waarden die door bepaalde interfaces worden geretourneerd niet goed valideert bij het verwerken van de aantekeningen bij tekst in bepaalde PDF's.	XP van ZGCLab

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 11.1.6

Releasedatum: 17 januari 2024

Platform: macOS

Overzicht

Foxit heeft Foxit PDF Editor voor Mac 11.1.6 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	11.1.5.0913 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit PDF Editor voor Mac op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan Use-After-Free- of Out-of-Bounds Read-kwetsbaarheden en kon crashen bij het verwerken van bepaalde Doc-, Graphic-, Signature- of Bookmark-objecten, die door aanvallers konden worden misbruikt om externe code uit te voeren of informatie openbaar te maken. Dit gebeurt doordat er gebruik wordt gemaakt van een nullpointer of een object dat is verwijderd of vrijgegeven zonder de juiste validatie. (CVE-2023-51554, CVE-2023-51553, CVE-2023-51555, CVE-2023-51559, CVE-2023-51551, CVE-2023-42089, CVE-2023-51550, CVE-2023-51562)	XP van ZGCLab Anonymous in samenwerking met Trend Micro Zero Day Initiative
Mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-kwetsbaarheid en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om een Denial of Service-aanval te veroorzaken. Dit gebeurt omdat de toepassing de lege waarden die door bepaalde interfaces worden geretourneerd niet goed valideert bij het verwerken van de aantekeningen bij tekst in bepaalde PDF's.	XP van ZGCLab

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

2023

Beveiligingsupdates beschikbaar in Foxit PDF Reader 2023.3 en Foxit PDF Editor 2023.3

Releasedatum: 22 november 2023

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 2023.3 en Foxit PDF Editor 2023.3 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Reader (voorheen Foxit Reader)	2023.2.0.21408 en eerder	Windows
Foxit PDF Editor (voorheen Foxit PhantomPDF)	2023.2.0.21408, 2023.1.0.15510, 13.0.0.21632, 12.1.3.15356 en alle eerdere 12.x-versies, 11.2.7.53812 en alle eerdere 11.x-versies, 10.1.12.37872 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

(In versie 2023.1 en hoger) In Foxit PDF Reader of Foxit PDF Editor klikt u op Help > Over Foxit PDF Reader of Over Foxit PDF Editor > Controleren op update om uw toepassing bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Use-After-Free-, Out-of-Bounds Read- of Type Confusion-kwetsbaarheid en kon crashen bij het verwerken van bepaalde Doc-, Graphic-, Signature-, Bookmark- of 3D annotation-objecten, die door aanvallers kunnen worden misbruikt om externe code uit te voeren of informatie te onthullen. Dit treedt op door het gebruik van null pointer, wild pointer of een object dat is verwijderd of vrijgegeven zonder de juiste validatie. (CVE-2023-51549, CVE-2023-51550, CVE-2023-51552, CVE-2023-51554, CVE-2023-51553, CVE-2023-32616, CVE-2023-41257, CVE-2023-38573, CVE-2023-51555, CVE-2023-51556, CVE-2023-51557, CVE-2023-51558, CVE-2023-51559, CVE-2023-51551, CVE-2023-51562)	XP van ZGCLab Anonymous in samenwerking met Trend Micro Zero Day Initiative Kamlapati Choubey van Cisco Talos Aleksandar Nikolic en KPC van Cisco Talos
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan de kwetsbaarheid voor Willekeurige bestandscreatie, die door aanvallers kan worden misbruikt om willekeurige code uit te voeren. Dit treedt op doordat de toepassing de uitvoerbare bestanden direct opent, omdat deze niet adequaat de bestandstypen identificeert die niet mogen worden geopend bij het verwerken van de exportDataObject-methode van het Doc-object. (CVE-2023-40194, CVE-2023-35985)	Kamlapati Choubey van Cisco Talos
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Use-After-Free- of Out-of-Bounds Write-kwetsbaarheid en kon crashen, wat door aanvallers kon worden misbruikt om willekeurige code uit te voeren. Dit treedt op door een GDI-geheugenoverloop, omdat de toepassing de gebruikersinvoer niet adequaat heeft verwerkt.	Suyue Guo, Wei You van Renmin University of China
Potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een kwetsbaarheid voor Willekeurige bestandsuitvoering bij het openen van bepaalde PDF-bestanden die de OpenAction-methode gebruiken met behulp van relatieve paden en path spoofing-technieken, wat door aanvallers kan worden misbruikt om gebruikers te misleiden om opdrachten uit te voeren om kwaadaardige code te verspreiden. De toepassing heeft het proces Bestand starten geoptimaliseerd, inclusief het verkrijgen van het absolute pad, het beperken van het uitvoeren van bestanden waarvan het bestandspad meer dan 260 tekens bevat, en het vergroten van het venster om het volledige pad (binnen 260 tekens) van het uit te voeren bestand weer te geven.	Anonieme onderzoeker
Potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Type Confusion-kwetsbaarheid en kon crashen bij het verwerken van bepaalde annotatieobjecten, die door aanvallers konden worden misbruikt om externe code uit te voeren. Dit komt doordat de toepassing pointers van verschillende typen zonder overervingsrelatie cast en gebruikt zonder de juiste validatie, wat leidt tot toegang tot ongeldig geheugen. (CVE-2023-51560)	Anonymous in samenwerking met Trend Micro Zero Day Initiative
Potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Out-of-Bounds Read-kwetsbaarheid, die door aanvallers kon worden gebruikt om informatie openbaar te maken. Dit gebeurt doordat de toepassing de toegewezen pointer niet goed initialiseert bij het verwerken van bepaalde PDF-bestanden. (CVE-2023-51561)	Mat Powell van het Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 2023.3 en Foxit PDF Reader voor Mac 2023.3

Releasedatum: 22 november 2023

Platform: macOS

Samenvatting

Foxit heeft Foxit PDF Editor voor Mac 2023.3 en Foxit PDF Reader voor Mac 2023.3 uitgebracht, die mogelijke beveiligings- en stabiliteitsproblemen verhelpen.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	2023.2.0.61611, 2023.1.0.55583, 13.0.0.61829, 12.1.1.55342 en alle eerdere 12.x-versies, 11.1.5.0913 en eerder	macOS
Foxit PDF Reader voor Mac (voorheen Foxit Reader Mac)	2023.2.0.61611 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

(In versie 2023.1 en hoger) In Foxit PDF Reader voor Mac of Foxit PDF Editor voor Mac klikt u op Help > Over Foxit PDF Reader of Over Foxit PDF Editor > Controleren op updates om de toepassing bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader voor Mac van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting

Met dank aan

Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan Use-After-Free- of Out-of-Bounds Read-kwetsbaarheden en kon crashen bij het verwerken van bepaalde Doc-, Graphic-, Signature- of Bookmark-objecten, die door aanvallers konden worden misbruikt om externe code uit te voeren of informatie openbaar te maken. Dit gebeurt doordat er gebruik wordt gemaakt van een nullpointer of een object dat is verwijderd of vrijgegeven zonder de juiste validatie. (CVE-2023-51554, CVE-2023-51553, CVE-2023-51555, CVE-2023-51559, CVE-2023-51551)

XP van ZGCLab
Anonymous in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Editor 13.0.1

Releasedatum: 14 november 2023

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Editor 13.0.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor	13.0.0.21632, 12.1.3.15356 en alle eerdere 12.x-versies, 11.2.7.53812 en alle eerdere 11.x-versies, 10.1.12.37872 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om uw versie bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Use-After-Free-, Out-of-Bounds Read- of Type Confusion-kwetsbaarheid en kon crashen bij het verwerken van bepaalde Doc-, Graphic-, Signature-, Bookmark- of 3D annotation-objecten, die door aanvallers kunnen worden misbruikt om externe code uit te voeren of informatie te onthullen. Dit treedt op door het gebruik van null pointer, wild pointer of een object dat is verwijderd of vrijgegeven zonder de juiste validatie. (CVE-2023-51549, CVE-2023-51550, CVE-2023-51552, CVE-2023-51554, CVE-2023-51553, CVE-2023-32616, CVE-2023-41257, CVE-2023-38573, CVE-2023-51555, CVE-2023-51556, CVE-2023-51557, CVE-2023-51558, CVE-2023-51559, CVE-2023-51551, CVE-2023-51562)	XP van ZGCLab Anonymous in samenwerking met Trend Micro Zero Day Initiative Kamlapati Choubey van Cisco Talos Aleksandar Nikolic en KPC van Cisco Talos
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan de kwetsbaarheid voor Willekeurige bestandscreatie, die door aanvallers kan worden misbruikt om willekeurige code uit te voeren. Dit treedt op doordat de toepassing de uitvoerbare bestanden direct opent, omdat deze niet adequaat de bestandstypen identificeert die niet mogen worden geopend bij het verwerken van de exportDataObject-methode van het Doc-object. (CVE-2023-40194, CVE-2023-35985)	Kamlapati Choubey van Cisco Talos
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Use-After-Free- of Out-of-Bounds Write-kwetsbaarheid en kon crashen, wat door aanvallers kon worden misbruikt om willekeurige code uit te voeren. Dit treedt op door een GDI-geheugenoverloop, omdat de toepassing de gebruikersinvoer niet adequaat heeft verwerkt.	Suyue Guo, Wei You van Renmin University of China
Potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een kwetsbaarheid voor Willekeurige bestandsuitvoering bij het openen van bepaalde PDF-bestanden die de OpenAction-methode gebruiken met behulp van relatieve paden en path spoofing-technieken, wat door aanvallers kan worden misbruikt om gebruikers te misleiden om opdrachten uit te voeren om kwaadaardige code te verspreiden. De toepassing heeft het proces Bestand starten geoptimaliseerd, inclusief het verkrijgen van het absolute pad, het beperken van het uitvoeren van bestanden waarvan het bestandspad meer dan 260 tekens bevat, en het vergroten van het venster om het volledige pad (binnen 260 tekens) van het uit te voeren bestand weer te geven.	Anonieme onderzoeker
Potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Type Confusion-kwetsbaarheid en kon crashen bij het verwerken van bepaalde annotatieobjecten, die door aanvallers konden worden misbruikt om externe code uit te voeren. Dit komt doordat de toepassing pointers van verschillende typen zonder overervingsrelatie cast en gebruikt zonder de juiste validatie, wat leidt tot toegang tot ongeldig geheugen. (CVE-2023-51560)	Anonymous in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 13.0.1

Releasedatum: 8 november 2023

Platform: macOS

Samenvatting

Foxit heeft Foxit PDF Editor voor Mac 13.0.1 uitgebracht, die mogelijke beveiligings- en stabiliteitsproblemen verhelpen.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	13.0.0.61829, 12.1.1.55342 en alle eerdere 12.x-versies, 11.1.5.0913 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor voor Mac klikt u op Help > Over Foxit PDF Editor > Controleren op updates (in versie 11 en ouder klikt u op Help > Controleren op updates) om bij te werken naar de recenste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting

Met dank aan

XP van ZGCLab
Anonymous in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Editor 11.2.7

Releasedatum: 27 september 2023

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Editor 11.2.7 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor	11.2.6.53790 en alle eerdere 11.x-versies, 10.1.12.37872 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om uw versie bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Use-after-Free, Out-of-Bounds-leesbewerkingen of Type Confusion en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om code op afstand uit te voeren of om informatie te onthullen. Dit doet zich voor vanwege toegang van een null-aanwijzer/wilde aanwijzer of verwijzing naar het object dat is verwijderd zonder geldige validatie tijdens de verwerking van bepaalde JavaScripts. (CVE-2023-28744, CVE-2023-38111, CVE-2023-38107, CVE-2023-38109, CVE-2023-38113, CVE-2023-38114, CVE-2023-38112, CVE-2023-38110, CVE-2023-38115, CVE-2023-38117, CVE-2023-27379, CVE-2023-33866, CVE-2023-32664, CVE-2023-33876)	Aleksandar Nikolic van Cisco Talos Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative Aleksandar Nikolic en Kamlapati Choubey van Cisco Talos
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Out-Of-Bounds-leesbewerkingen en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om informatie te onthullen. Dit wordt veroorzaakt door de toegangsschending als de toepassing de bytes buiten het bereik van de stream leest of de kleurcomponenten gebruikt (gedefinieerd in het woordenboek met kleurruimten) die inconsistent zijn met de werkelijke componenten voor het afbeeldingsobject bij het converteren van de kleurruimte van een afbeelding. (CVE-2023-38105, CVE-2023-38106, CVE-2023-38108, CVE-2023-38116)	Anonymous in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen in willekeurige bestanden. Dit probleem had door aanvallers kunnen worden misbruikt om bestanden in het doelsysteem te onthullen. Dit gebeurt als de toepassing het type bijlage niet goed valideert wanneer de methoden (met bestandsbijlagen gespecificeerd) worden aangeroepen om annotaties te maken.	@j00sean
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het verwijderen van willekeurige bestanden. Dit probleem had door aanvallers kunnen worden misbruikt om privébestanden in de context van de huidige gebruiker te verwijderen. Dit gebeurt omdat de toepassing het bestandstype niet valideert en het doelbestand ten onrechte verwijdert zonder het bestaan ervan in het gebruikerssysteem te controleren wanneer bepaalde JavaScripts worden aangeroepen om PDF's te exporteren.	@j00sean
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Out-of-Bounds-leesbewerkingen en de uitvoering van code op afstand, waardoor de toepassing vastliep tijdens het verwerken van bepaalde PDF-bestanden die handtekeningen bevatten. Dit gebeurt omdat de toepassing de handtekeningen gelijktijdig verifieert in een omgeving met meerdere threads en de gegevens meerdere keren overschrijft. (CVE-2023-38119)	Anonymous in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Out-of-Bounds-schrijfbewerkingen en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om code op afstand uit te voeren. Dit is het gevolg van een toegangsschending als de toepassing de abnormale parameters niet goed verwerkt bij het renderen van de pop-upnotities met aantekeningen in bepaalde PDF-bestanden. (CVE-2023-38118)	Anonymous in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 11.1.5

Releasedatum: 19 september 2023

Platform: macOS

Overzicht

Foxit heeft Foxit PDF Editor voor Mac 11.1.5 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	11.1.4.1121 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit PDF Editor voor Mac op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Use-After-Free of met Out-of-Bounds-leesbewerkingen en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om code op afstand uit te voeren of informatie te onthullen. Dit doet zich voor vanwege toegang van een null-aanwijzer/wilde aanwijzer of verwijzing naar het object dat is verwijderd zonder geldige validatie tijdens de verwerking van bepaalde JavaScripts. (CVE-2023-28744, CVE-2023-38111, CVE-2023-38107, CVE-2023-38109, CVE-2023-38113, CVE-2023-38112, CVE-2023-38110, CVE-2023-38117)	Aleksandar Nikolic van Cisco Talos Anonymous in samenwerking met Trend Micro Zero Day Initiative
Heef een mogelijk probleem aangepakt waarbij de toepassing geforceerd kon worden beëindigd wanneer in XFA JavaScripts een gegevensoverloop werd gedetecteerd.	Philip Kolvenbach van Fraunhofer Institute for Secure Information Technology (SIT)

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Reader 2023.2 en Foxit PDF Editor 2023.2

Releasedatum: 12 september 2023

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 2023.2 en Foxit PDF Editor 2023.2 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Reader (voorheen Foxit Reader)	12.1.3.15356 en eerder	Windows
Foxit PDF Editor (voorheen Foxit PhantomPDF)	2023.1.0.15510, 12.1.3.15356 en alle eerdere 12.x-versies, 11.2.7.53812 en alle eerdere 11.x-versies, 10.1.12.37872 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

(Voor versie 2023.1) In Foxit PDF Editor klikt u op Help > Over Foxit PDF Editor > Controleren op update.
Klik hier om de bijgewerkte versie van Foxit PDF Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Use-After-Free en kon vastlopen bij het verwerken van bepaalde JavaScripts. Dit probleem had door aanvallers kunnen worden misbruikt om code op afstand uit te voeren of om informatie te onthullen. Dit komt door de inconsistentie tussen de geëxporteerde waarden en de weergavewaarden, omdat de toepassing niet goed omgaat met de keuzerondjecomponent waarvoor het weergavewoordenboek ontbreekt, of vanwege het gebruik van verwijderde objecten zonder de juiste validatie. (CVE-2023-42089, CVE-2023-42090, CVE-2023-42091, CVE-2023-42092, CVE-2023-42093, CVE-2023-42094, CVE-2023-42095, CVE-2023-42096, CVE-2023-42097, CVE-2023-42098)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Null Pointer Dereference, en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om een Denial of Service-aanval te starten. Dit doet zich voor omdat de toepassing de indirect verkregen objecten of lege waarden die door bepaalde interfaces worden geretourneerd, niet goed valideert bij het verwerken van bladwijzers of tekstannotaties in bepaalde PDF's.	XP van ZGCLab
Heeft een mogelijk probleem verholpen waarbij de toepassing tijdens de installatie kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode wanneer bepaalde JavaScripts worden verwerkt. Dit gebeurt omdat de toepassing er niet in slaagt de cPath-parameter in de saveAs-methode te valideren en daardoor gedwongen wordt naar de opstartmap te schrijven met een .hta-bestand dat na een herstart willekeurige code kan uitvoeren. (CVE-2023-39542)	Kamlapati Choubey van Cisco Talos

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Editor 13.0

Releasedatum: 12 september 2023

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Editor 13.0 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor (voorheen Foxit PhantomPDF)	12.1.3.15356 en alle eerdere 12.x-versies, 11.2.6.53790 en alle eerdere 11.x-versies, 10.1.12.37872 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om uw versie bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Use-After-Free en kon vastlopen bij het verwerken van bepaalde JavaScripts. Dit probleem had door aanvallers kunnen worden misbruikt om code op afstand uit te voeren of om informatie te onthullen. Dit komt door de inconsistentie tussen de geëxporteerde waarden en de weergavewaarden, omdat de toepassing niet goed omgaat met de keuzerondjecomponent waarvoor het weergavewoordenboek ontbreekt, of vanwege het gebruik van verwijderde objecten zonder de juiste validatie. (CVE-2023-42089, CVE-2023-42090, CVE-2023-42091, CVE-2023-42092, CVE-2023-42093, CVE-2023-42094, CVE-2023-42095, CVE-2023-42096, CVE-2023-42097, CVE-2023-42098)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Null Pointer Dereference, en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om een Denial of Service-aanval te starten. Dit doet zich voor omdat de toepassing de indirect verkregen objecten of lege waarden die door bepaalde interfaces worden geretourneerd, niet goed valideert bij het verwerken van bladwijzers of tekstannotaties in bepaalde PDF's.	XP van ZGCLab
Heeft een mogelijk probleem verholpen waarbij de toepassing tijdens de installatie kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode wanneer bepaalde JavaScripts worden verwerkt. Dit gebeurt omdat de toepassing er niet in slaagt de cPath-parameter in de saveAs-methode te valideren en daardoor gedwongen wordt naar de opstartmap te schrijven met een .hta-bestand dat na een herstart willekeurige code kan uitvoeren. (CVE-2023-39542)	Kamlapati Choubey van Cisco Talos

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 12.1.1 en Foxit PDF Reader voor Mac 12.1.1

Releasedatum: 25 juli 2023

Platform: macOS

Samenvatting

Foxit heeft Foxit PDF Editor voor Mac 12.1.1 en Foxit PDF Reader voor Mac 12.1.1 uitgebracht, die mogelijke beveiligings- en stabiliteitsproblemen verhelpen.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	12.1.0.1229 en alle eerdere 12.x-versies, 11.1.4.1121 en eerder	macOS
Foxit PDF Reader voor Mac (voorheen Foxit Reader Mac)	12.1.0.1229 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Reader voor Mac of Foxit PDF Editor voor Mac klikt u op Help > Over Foxit PDF Reader of Over Foxit PDF Editor > Controleren op updates (in versie 11 en ouder klikt u op Help > Controleren op updates) om bij te werken naar de recenste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader voor Mac van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Use-After-Free of met Out-of-Bounds-leesbewerkingen en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om code op afstand uit te voeren of informatie te onthullen. Dit doet zich voor vanwege toegang van een null-aanwijzer/wilde aanwijzer of verwijzing naar het object dat is verwijderd zonder geldige validatie tijdens de verwerking van bepaalde JavaScripts. (CVE-2023-28744, CVE-2023-38111, CVE-2023-38107, CVE-2023-38109, CVE-2023-38113, CVE-2023-38112, CVE-2023-38110, CVE-2023-38117)	Aleksandar Nikolic van Cisco Talos Anonymous in samenwerking met Trend Micro Zero Day Initiative
Heef een mogelijk probleem aangepakt waarbij de toepassing geforceerd kon worden beëindigd wanneer in XFA JavaScripts een gegevensoverloop werd gedetecteerd.	Philip Kolvenbach van Fraunhofer Institute for Secure Information Technology (SIT)

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Reader 12.1.3 en Foxit PDF Editor 12.1.3

Releasedatum: 19 juli 2023

Platform: Windows

Samenvatting

Foxit heeft Foxit Reader 12.1.3 en Foxit PDF Editor 12.1.3 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Reader (voorheen Foxit Reader)	12.1.2.15332 en eerder	Windows
Foxit PDF Editor (voorheen Foxit PhantomPDF)	12.1.2.15332 en alle eerdere 12.x-versies, 11.2.6.53790 en alle eerdere 11.x-versies, 10.1.12.37872 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Reader of Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Reader' of 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om bij te werken naar de recenste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Use-after-Free, Out-of-Bounds-leesbewerkingen of Type Confusion en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om code op afstand uit te voeren of om informatie te onthullen. Dit doet zich voor vanwege toegang van een null-aanwijzer/wilde aanwijzer of verwijzing naar het object dat is verwijderd zonder geldige validatie tijdens de verwerking van bepaalde JavaScripts. (CVE-2023-28744, CVE-2023-38111, CVE-2023-38107, CVE-2023-38109, CVE-2023-38113, CVE-2023-38114, CVE-2023-38112, CVE-2023-38110, CVE-2023-38115, CVE-2023-38117, CVE-2023-27379, CVE-2023-33866, CVE-2023-32664, CVE-2023-33876)	Aleksandar Nikolic van Cisco Talos Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative Aleksandar Nikolic en Kamlapati Choubey van Cisco Talos
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Out-Of-Bounds-leesbewerkingen en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om informatie te onthullen. Dit wordt veroorzaakt door de toegangsschending als de toepassing de bytes buiten het bereik van de stream leest of de kleurcomponenten gebruikt (gedefinieerd in het woordenboek met kleurruimten) die inconsistent zijn met de werkelijke componenten voor het afbeeldingsobject bij het converteren van de kleurruimte van een afbeelding. (CVE-2023-38105, CVE-2023-38106, CVE-2023-38108, CVE-2023-38116)	Anonymous in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen in willekeurige bestanden. Dit probleem had door aanvallers kunnen worden misbruikt om bestanden in het doelsysteem te onthullen. Dit gebeurt als de toepassing het type bijlage niet goed valideert wanneer de methoden (met bestandsbijlagen gespecificeerd) worden aangeroepen om annotaties te maken.	@j00sean
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het verwijderen van willekeurige bestanden. Dit probleem had door aanvallers kunnen worden misbruikt om privébestanden in de context van de huidige gebruiker te verwijderen. Dit gebeurt omdat de toepassing het bestandstype niet valideert en het doelbestand ten onrechte verwijdert zonder het bestaan ervan in het gebruikerssysteem te controleren wanneer bepaalde JavaScripts worden aangeroepen om PDF's te exporteren.	@j00sean
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Out-of-Bounds-leesbewerkingen en de uitvoering van code op afstand, waardoor de toepassing vastliep tijdens het verwerken van bepaalde PDF-bestanden die handtekeningen bevatten. Dit gebeurt omdat de toepassing de handtekeningen gelijktijdig verifieert in een omgeving met meerdere threads en de gegevens meerdere keren overschrijft. (CVE-2023-38119)	Anonymous in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Out-of-Bounds-schrijfbewerkingen en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om code op afstand uit te voeren. Dit is het gevolg van een toegangsschending als de toepassing de abnormale parameters niet goed verwerkt bij het renderen van de pop-upnotities met aantekeningen in bepaalde PDF-bestanden. (CVE-2023-38118)	Anonymous in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PhantomPDF 10.1.12

Releasedatum: 16 juni 2023

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 10.1.12 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	10.1.11.37866 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing tijdens de installatie kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode wanneer bepaalde JavaScripts worden verwerkt. Dit gebeurt omdat de toepassing er niet in slaagt de cPath-parameter in de exportXFAData-methode te valideren en daardoor gedwongen wordt naar de opstartmap te schrijven met een .hta-bestand dat na een herstart willekeurige code kan uitvoeren. (CVE-2023-27363)	Andrea Micalizzi, ook wel rgod genoemd, in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode, waardoor de toepassing crashte tijdens het ontleden van bepaalde XLS- of DOC-bestanden. Dit gebeurt wanneer de toepassing het XLS- of DOC-bestand opent met de standaardmachtigingen en toestaat dat macro's worden uitgevoerd zonder de juiste beperkingen of toestemmingen van gebruikers. (CVE-2023-27364, CVE-2023-27365)	kimiya in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Null Pointer Dereference of Use-After-Free en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren. Dit doet zich voor vanwege toegang van een null-pointer of vrijgemaakt geheugen zonder de vereiste validatie wanneer bepaalde JavaScripts worden verwerkt. (CVE-2023-27366)	Suyue Guo, Wei You van Renmin University of China Suyue Guo en Wei You van Renmin University of China in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een lokaal beveiligingsprobleem met de escalatie van lokale bevoegdheden. Dit gebeurt omdat het oorspronkelijke uitvoerbare bestand van de geregistreerde service met machtigingen op systeemniveau kan worden gekaapt door gebruikers met normale machtigingen wanneer de toepassing is geïnstalleerd in een niet-standaard directory.	Will Dormann van Vul Labs
Heef een mogelijk probleem aangepakt waarbij de toepassing geforceerd kon worden beëindigd wanneer in XFA JavaScripts een gegevensoverloop werd gedetecteerd.	Philip Kolvenbach van Fraunhofer Institute for Secure Information Technology (SIT)

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Editor 11.2.6

Releasedatum: 31 mei 2023

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Editor 11.2.6 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor	11.2.5.53785 en alle eerdere 11.x-versies, 10.1.11.37866 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om uw versie bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing tijdens de installatie kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode wanneer bepaalde JavaScripts worden verwerkt. Dit gebeurt omdat de toepassing er niet in slaagt de cPath-parameter in de exportXFAData-methode te valideren en daardoor gedwongen wordt naar de opstartmap te schrijven met een .hta-bestand dat na een herstart willekeurige code kan uitvoeren. (CVE-2023-27363)	Andrea Micalizzi, ook wel rgod genoemd, in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode, waardoor de toepassing crashte tijdens het ontleden van bepaalde XLS- of DOC-bestanden. Dit gebeurt wanneer de toepassing het XLS- of DOC-bestand opent met de standaardmachtigingen en toestaat dat macro's worden uitgevoerd zonder de juiste beperkingen of toestemmingen van gebruikers. (CVE-2023-27364, CVE-2023-27365)	kimiya in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Null Pointer Dereference of Use-After-Free en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren. Dit doet zich voor vanwege toegang van een null-pointer of vrijgemaakt geheugen zonder de vereiste validatie wanneer bepaalde JavaScripts worden verwerkt. (CVE-2023-27366)	Suyue Guo, Wei You van Renmin University of China Suyue Guo en Wei You van Renmin University of China in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een lokaal beveiligingsprobleem met de escalatie van lokale bevoegdheden. Dit gebeurt omdat het oorspronkelijke uitvoerbare bestand van de geregistreerde service met machtigingen op systeemniveau kan worden gekaapt door gebruikers met normale machtigingen wanneer de toepassing is geïnstalleerd in een niet-standaard directory.	Will Dormann van Vul Labs
Heef een mogelijk probleem aangepakt waarbij de toepassing geforceerd kon worden beëindigd wanneer in XFA JavaScripts een gegevensoverloop werd gedetecteerd.	Philip Kolvenbach van Fraunhofer Institute for Secure Information Technology (SIT)

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Reader 12.1.2 en Foxit PDF Editor 12.1.2

Releasedatum: 19 april 2023

Platform: Windows

Samenvatting

Foxit heeft Foxit Reader 12.1.2 en Foxit PDF Editor 12.1.2 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Reader (voorheen Foxit Reader)	12.1.1.15289 en eerder	Windows
Foxit PDF Editor (voorheen Foxit PhantomPDF)	12.1.1.15289 en alle eerdere 12.x-versies, 11.2.5.53785 en alle eerdere 11.x-versies, 10.1.11.37866 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Reader of Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Reader' of 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om bij te werken naar de recenste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing tijdens de installatie kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode wanneer bepaalde JavaScripts worden verwerkt. Dit gebeurt omdat de toepassing er niet in slaagt de cPath-parameter in de exportXFAData-methode te valideren en daardoor gedwongen wordt naar de opstartmap te schrijven met een .hta-bestand dat na een herstart willekeurige code kan uitvoeren. (CVE-2023-27363)	Andrea Micalizzi, ook wel rgod genoemd, in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode, waardoor de toepassing crashte tijdens het ontleden van bepaalde XLS- of DOC-bestanden. Dit gebeurt wanneer de toepassing het XLS- of DOC-bestand opent met de standaardmachtigingen en toestaat dat macro's worden uitgevoerd zonder de juiste beperkingen of toestemmingen van gebruikers. (CVE-2023-27364, CVE-2023-27365)	kimiya in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Null Pointer Dereference of Use-After-Free en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren. Dit doet zich voor vanwege toegang van een null-pointer of vrijgemaakt geheugen zonder de vereiste validatie wanneer bepaalde JavaScripts worden verwerkt. (CVE-2023-27366)	Suyue Guo, Wei You van Renmin University of China Suyue Guo en Wei You van Renmin University of China in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een lokaal beveiligingsprobleem met de escalatie van lokale bevoegdheden. Dit gebeurt omdat het oorspronkelijke uitvoerbare bestand van de geregistreerde service met machtigingen op systeemniveau kan worden gekaapt door gebruikers met normale machtigingen wanneer de toepassing is geïnstalleerd in een niet-standaard directory.	Will Dormann van Vul Labs
Heef een mogelijk probleem aangepakt waarbij de toepassing geforceerd kon worden beëindigd wanneer in XFA JavaScripts een gegevensoverloop werd gedetecteerd.	Philip Kolvenbach van Fraunhofer Institute for Secure Information Technology (SIT)

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PhantomPDF 10.1.11

Releasedatum: 16 maart 2023

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 10.1.11 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	10.1.10.37854 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden en kon crashen als gebruikers bepaalde PDF's openen die JavaScripts bevatten waarin te veel tekst is opgegeven voor bepaalde controles, wat door aanvallers kan worden misbruikt om arbitraire code uit te voeren. Dit doet zich voor vanwege de toegang tot gegevens buiten de grenswaarden, aangezien de toepassing de lengte van de invoerparameter niet kan valideren bij het aanroepen van bepaalde API-functies vanuit de GDI-bibliotheek.	Suyue Guo, Wei You van Renmin University of China
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Use-after-Free en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren. Dit doet zich voor vanwege het gebruik van een object dat of een aanwijzer die is vrijgegeven tijdens het uitvoeren van bepaalde JavaScripts in PDF-bestanden. (CVE-2022-43649)	Anonymous in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijk problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Use-after-Free en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren. Dit doet zich voor vanwege het gebruik van een object dat of een aanwijzer die is vrijgegeven tijdens het uitvoeren van bepaalde JavaScripts in PDF-bestanden. (CVE-2023-27331, CVE-2023-27330, CVE-2023-27329)	Anonymous in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Editor 11.2.5

Releasedatum: 08 maart 2023

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Editor 11.2.5 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor	11.2.4.53774 en alle eerdere 11.x-versies, 10.1.10.37854 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om uw versie bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden en kon crashen als gebruikers bepaalde PDF's openen die JavaScripts bevatten waarin te veel tekst is opgegeven voor bepaalde controles, wat door aanvallers kan worden misbruikt om arbitraire code uit te voeren. Dit doet zich voor vanwege de toegang tot gegevens buiten de grenswaarden, aangezien de toepassing de lengte van de invoerparameter niet kan valideren bij het aanroepen van bepaalde API-functies vanuit de GDI-bibliotheek.	Suyue Guo, Wei You van Renmin University of China
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Use-after-Free en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren. Dit doet zich voor vanwege het gebruik van een object dat of een aanwijzer die is vrijgegeven tijdens het uitvoeren van bepaalde JavaScripts in PDF-bestanden. (CVE-2022-43649)	Anonymous in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijk problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Use-after-Free en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren. Dit doet zich voor vanwege het gebruik van een object dat of een aanwijzer die is vrijgegeven tijdens het uitvoeren van bepaalde JavaScripts in PDF-bestanden. (CVE-2023-27331, CVE-2023-27330, CVE-2023-27329)	Anonymous in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Reader 12.1.1 en Foxit PDF Editor 12.1.1

Releasedatum: 21 februari 2023

Platform: Windows

Samenvatting

Foxit heeft Foxit Reader 12.1.1 en Foxit PDF Editor 12.1.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Reader (voorheen Foxit Reader)	12.1.0.15250 en eerder	Windows
Foxit PDF Editor (voorheen Foxit PhantomPDF)	12.1.0.15250 en alle eerdere 12.x-versies, 11.2.4.53774 en alle eerdere 11.x-versies, 10.1.10.37854 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Reader of Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Reader' of 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om bij te werken naar de recenste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een kwetsbaarheid voor het vrijgeven van informatie vanwege een onjuiste versleuteling bij het verzamelen van de gebruikersklikken van de banneradvertenties. Daarnaast zijn andere potentiële problemen verholpen met betrekking tot de verouderde webserver waarop de advertentielogboeken en informatie worden opgeslagen (alleen Foxit PDF Reader).	Tom van den Enden
Heeft mogelijk problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Use-after-Free en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren. Dit doet zich voor vanwege het gebruik van een object dat of een aanwijzer die is vrijgegeven tijdens het uitvoeren van bepaalde JavaScripts in PDF-bestanden. (CVE-2023-27331, CVE-2023-27330, CVE-2023-27329)	Anonymous in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

2022

Beveiligingsupdates beschikbaar in Foxit PhantomPDF 10.1.10

Releasedatum: 27 december 2022

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 10.1.10 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	10.1.9.37808 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een toegangsfout bij leesbewerkingen, een Use-after-Free-beveiligingsprobleem of een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden en kon crashen bij het parseren van bepaalde U3D-bestanden. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren of informatie te onthullen. Dit treedt op omdat de toepassing toegang krijgt tot de array of iterator buiten de grenswaarden, of de wilde aanwijzer of een object gebruikt die/dat is vrijgegeven zonder de vereiste validatie. (CVE-2022-43637, CVE-2022-43638, CVE-2022-43639, CVE-2022-43640, CVE-2022-43641)	Milan Kyselica Mat Powell van het Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-beveiligingsprobleem, en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om een Denial of Service te veroorzaken. Dit gebeurt vanwege het gebruik van een null-aanwijzer zonder de juiste validatie bij het parseren van bepaalde PDF-bestanden die het ongeldige paginaobject bevatten, of toegang tot de array buiten de grenswaarden als gevolg van de logische fout bij het parseren van bepaalde PDF-bestanden waarvan het kenmerk colSpan boven de maximaal toegestane lengte is ingesteld.	Park Hyeon (@tree_segment) van TeamH4C soiax
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met stackoverloop of stackuitputting, en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om een Denial of Service te veroorzaken. Dit doet zich voor vanwege de schending van de toegang tot de array bij het verwerken van bepaalde PDF-bestanden die een veld bevatten dat is opgemaakt als 'Percentage' met een veel te grote waarde, of vanwege de oneindige recursie als gevolg van het zelfverwijzende object of een onjuiste hiërarchische structuur van de knooppunten bij het verwerken van bepaalde PDF- of XFA-bestanden.	soiax
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met betrekking tot het uitvoeren van een willekeurig bestand. Dit doet zich voor als de toepassing het bestand niet kan valideren bij het bijwerken van een plug-in met het .fzip-bestand.	hujin
Heeft mogelijk problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Use-after-Free en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren. Dit doet zich voor vanwege het gebruik van een object dat of een aanwijzer die is vrijgegeven tijdens het uitvoeren van bepaalde JavaScripts in PDF-bestanden. (CVE-2022-32774, CVE-2022-38097, CVE-2022-37332, CVE-2022-40129)	Aleksandar Nikolic van Cisco Talos

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Editor 11.2.4

Releasedatum: 22 december 2022

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Editor 11.2.4 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor	11.2.3.53593 en alle eerdere 11.x-versies, 10.1.9.37808 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om uw versie bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een toegangsfout bij leesbewerkingen, een Use-after-Free-beveiligingsprobleem of een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden en kon crashen bij het parseren van bepaalde U3D-bestanden. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren of informatie te onthullen. Dit treedt op omdat de toepassing toegang krijgt tot de array of iterator buiten de grenswaarden, of de wilde aanwijzer of een object gebruikt die/dat is vrijgegeven zonder de vereiste validatie. (CVE-2022-43637, CVE-2022-43638, CVE-2022-43639, CVE-2022-43640, CVE-2022-43641)	Milan Kyselica Mat Powell van het Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-beveiligingsprobleem, en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om een Denial of Service te veroorzaken. Dit gebeurt vanwege het gebruik van een null-aanwijzer zonder de juiste validatie bij het parseren van bepaalde PDF-bestanden die het ongeldige paginaobject bevatten, of toegang tot de array buiten de grenswaarden als gevolg van de logische fout bij het parseren van bepaalde PDF-bestanden waarvan het kenmerk colSpan boven de maximaal toegestane lengte is ingesteld.	Park Hyeon (@tree_segment) van TeamH4C soiax
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met stackoverloop of stackuitputting, en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om een Denial of Service te veroorzaken. Dit doet zich voor vanwege de schending van de toegang tot de array bij het verwerken van bepaalde PDF-bestanden die een veld bevatten dat is opgemaakt als 'Percentage' met een veel te grote waarde, of vanwege de oneindige recursie als gevolg van het zelfverwijzende object of een onjuiste hiërarchische structuur van de knooppunten bij het verwerken van bepaalde PDF- of XFA-bestanden.	soiax
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met betrekking tot het uitvoeren van een willekeurig bestand. Dit doet zich voor als de toepassing het bestand niet kan valideren bij het bijwerken van een plug-in met het .fzip-bestand.	hujin
Heeft mogelijk problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Use-after-Free en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren. Dit doet zich voor vanwege het gebruik van een object dat of een aanwijzer die is vrijgegeven tijdens het uitvoeren van bepaalde JavaScripts in PDF-bestanden. (CVE-2022-32774, CVE-2022-38097, CVE-2022-37332, CVE-2022-40129)	Aleksandar Nikolic van Cisco Talos

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Reader 12.1 en Foxit PDF Editor 12.1

Releasedatum: 13 december 2022

Platform: Windows

Samenvatting

Foxit heeft Foxit Reader 12.1 en Foxit PDF Editor 12.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Reader (voorheen Foxit Reader)	12.0.2.12465 en eerder	Windows
Foxit PDF Editor (voorheen Foxit PhantomPDF)	12.0.2.12465 en alle eerdere 12.x-versies, 11.2.3.53593 en alle eerdere 11.x-versies, 10.1.9.37808 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Reader of Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Reader' of 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om bij te werken naar de recenste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden en kon crashen als gebruikers bepaalde PDF's openen die JavaScripts bevatten waarin te veel tekst is opgegeven voor bepaalde controles, wat door aanvallers kan worden misbruikt om arbitraire code uit te voeren. Dit doet zich voor vanwege de toegang tot gegevens buiten de grenswaarden, aangezien de toepassing de lengte van de invoerparameter niet kan valideren bij het aanroepen van bepaalde API-functies vanuit de GDI-bibliotheek.	Suyue Guo, Wei You van Renmin University of China
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Use-after-Free en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren. Dit doet zich voor vanwege het gebruik van een object dat of een aanwijzer die is vrijgegeven tijdens het uitvoeren van bepaalde JavaScripts in PDF-bestanden. (CVE-2022-43649)	Anonymous in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 11.1.4

Releasedatum: 23 november 2022

Platform: macOS

Overzicht

Foxit heeft Foxit PDF Editor voor Mac 11.1.4 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	11.1.3.0920 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit PDF Editor voor Mac op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een Denial of Service-aanval, waardoor de toepassing vastliep. Dit doet zich voor omdat de toepassing de null-aanwijzer of een element in de null-array zonder goede validatie gebruikt bij het verwerken van bepaalde JavaScripts.	China Information Technology Innovation Vulnerability Database (CITIVD)
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schending van leestoegang, waardoor de toepassing crashte tijdens het parseren van bepaalde U3D-bestanden. Dit treedt op omdat de toepassing toegang krijgt tot de array buiten de grenswaarden.	Milan Kyselica
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-beveiligingsprobleem, en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om een Denial of Service te veroorzaken. Dit gebeurt door toegang tot de array buiten de grenswaarden als gevolg van de logische fout bij het parseren van bepaalde PDF-bestanden waarvan het kenmerk colSpan boven de maximaal toegestane lengte is ingesteld.	Park Hyeon (@tree_segment) van TeamH4C soiax
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met stackoverloop of stackuitputting, en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om een Denial of Service te veroorzaken. Dit doet zich voor vanwege de schending van de toegang tot de array bij het verwerken van bepaalde PDF-bestanden die een veld bevatten dat is opgemaakt als 'Percentage' met een veel te grote waarde, of vanwege de oneindige recursie als gevolg van de onjuiste hiërarchische structuur van de knooppunten bij het verwerken van bepaalde PDF- of XFA-bestanden.	soiax

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in PDF Foxit Reader 12.0.2 en Foxit PDF Editor 12.0.2

Releasedatum: 8 november 2022

Platform: Windows

Samenvatting

Foxit heeft Foxit PDF Reader 12.0.2 en Foxit PDF Editor 12.0.2 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Reader (voorheen Foxit Reader)	12.0.1.12430 en eerder	Windows
Foxit PDF Editor (voorheen Foxit PhantomPDF)	12.0.1.12430, 12.0.0.12394, 11.2.3.53593 en alle eerdere 11.x-versies, 10.1.9.37808 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Reader of Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Reader' of 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om bij te werken naar de recenste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een toegangsfout bij leesbewerkingen, een Use-after-Free-beveiligingsprobleem of een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden en kon crashen bij het parseren van bepaalde U3D-bestanden. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren of informatie te onthullen. Dit treedt op omdat de toepassing toegang krijgt tot de array of iterator buiten de grenswaarden, of de wilde aanwijzer of een object gebruikt die/dat is vrijgegeven zonder de vereiste validatie. (CVE-2022-43637, CVE-2022-43638, CVE-2022-43639, CVE-2022-43640, CVE-2022-43641)	Milan Kyselica Mat Powell van het Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-beveiligingsprobleem, en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om een Denial of Service te veroorzaken. Dit gebeurt vanwege het gebruik van een null-aanwijzer zonder de juiste validatie bij het parseren van bepaalde PDF-bestanden die het ongeldige paginaobject bevatten, of toegang tot de array buiten de grenswaarden als gevolg van de logische fout bij het parseren van bepaalde PDF-bestanden waarvan het kenmerk colSpan boven de maximaal toegestane lengte is ingesteld.	Park Hyeon (@tree_segment) van TeamH4C soiax
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met stackoverloop of stackuitputting, en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om een Denial of Service te veroorzaken. Dit doet zich voor vanwege de schending van de toegang tot de array bij het verwerken van bepaalde PDF-bestanden die een veld bevatten dat is opgemaakt als 'Percentage' met een veel te grote waarde, of vanwege de oneindige recursie als gevolg van het zelfverwijzende object of een onjuiste hiërarchische structuur van de knooppunten bij het verwerken van bepaalde PDF- of XFA-bestanden.	soiax
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met betrekking tot het uitvoeren van een willekeurig bestand. Dit doet zich voor als de toepassing het bestand niet kan valideren bij het bijwerken van een plug-in met het .fzip-bestand.	hujin
Heeft mogelijk problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Use-after-Free en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren. Dit doet zich voor vanwege het gebruik van een object dat of een aanwijzer die is vrijgegeven tijdens het uitvoeren van bepaalde JavaScripts in PDF-bestanden. (CVE-2022-32774, CVE-2022-38097, CVE-2022-37332, CVE-2022-40129)	Aleksandar Nikolic van Cisco Talos

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 12.0.2 en Foxit PDF Reader voor Mac 12.0.2

Releasedatum: 1 november 2022

Platform: macOS

Samenvatting

Foxit heeft Foxit PDF Editor voor Mac 12.0.2 en Foxit PDF Reader voor Mac 12.0.2 uitgebracht, die mogelijke beveiligings- en stabiliteitsproblemen verhelpen.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	12.0.1.0720, 12.0.0.0601, 11.1.3.0920 en eerder	macOS
Foxit PDF Reader voor Mac (voorheen Foxit Reader Mac)	12.0.1.0720 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Reader voor Mac of Foxit PDF Editor voor Mac klikt u op Help > Over Foxit PDF Reader of Over Foxit PDF Editor > Controleren op updates (in versie 11 en ouder klikt u op Help > Controleren op updates) om bij te werken naar de recenste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader voor Mac van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een Denial of Service-aanval, waardoor de toepassing vastliep. Dit doet zich voor omdat de toepassing de null-aanwijzer of een element in de null-array zonder goede validatie gebruikt bij het verwerken van bepaalde JavaScripts.	China Information Technology Innovation Vulnerability Database (CITIVD)
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schending van leestoegang, waardoor de toepassing crashte tijdens het parseren van bepaalde U3D-bestanden. Dit treedt op omdat de toepassing toegang krijgt tot de array buiten de grenswaarden.	Milan Kyselica
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-beveiligingsprobleem, en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om een Denial of Service te veroorzaken. Dit gebeurt door toegang tot de array buiten de grenswaarden als gevolg van de logische fout bij het parseren van bepaalde PDF-bestanden waarvan het kenmerk colSpan boven de maximaal toegestane lengte is ingesteld.	Park Hyeon (@tree_segment) van TeamH4C soiax
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met stackoverloop of stackuitputting, en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om een Denial of Service te veroorzaken. Dit doet zich voor vanwege de schending van de toegang tot de array bij het verwerken van bepaalde PDF-bestanden die een veld bevatten dat is opgemaakt als 'Percentage' met een veel te grote waarde, of vanwege de oneindige recursie als gevolg van de onjuiste hiërarchische structuur van de knooppunten bij het verwerken van bepaalde PDF- of XFA-bestanden.	soiax

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 11.1.3

Releasedatum: 22 september 2022

Platform: macOS

Overzicht

Foxit heeft Foxit PDF Editor voor Mac 11.1.3 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	11.1.2.0420 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit PDF Editor voor Mac op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting

Met dank aan

Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-geïnitialiseerde variabele en kon vastlopen bij het verwerken van bepaalde JavaScripts. Dit probleem had door aanvallers kunnen worden misbruikt om informatie te onthullen. Dit doet zich voor als de toepassing V8 JavaScript Engine gebruikt in de verouderde versie die gevoelig is voor kwetsbaarheden.

DoHyun Lee(@l33d0hyun) van DNSLab, Korea University

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PhantomPDF 10.1.9

Releasedatum: 30 augustus 2022

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 10.1.9 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	10.1.8.37795 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft mogelijke problemen opgelost waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem voor het lezen van gegevens buiten het bufferbereik (Out-of-Bounds Read), Type Confusion, Use-after-Free en niet-geïnitialiseerde variabele, waardoor de toepassing vastliep bij het verwerken van bepaalde JavaScripts. Dit beveiligingsprobleem kon door hackers worden gebruikt om informatie te onthullen of code op afstand uit te voeren. Dit doet zich voor als de toepassing V8 JavaScript Engine gebruikt in de verouderde versie die gevoelig is voor kwetsbaarheden. (ZDI-CAN-16599, ZDI-CAN-16733, ZDI-CAN-16867)	Seungju Oh (@real_as3617), DoHyun Lee (@l33d0hyun) van Zerocution in samenwerking met Trend Micro Zero Day Initiative DoHyun Lee(@l33d0hyun) in samenwerking met Trend Micro Zero Day Initiative DoHyun Lee(@l33d0hyun) van DNSLab, Korea University in samenwerking met Trend Micro Zero Day Initiative DoHyun Lee(@l33d0hyun) van DNSLab, Korea University René Freingruber, SEC Consult Vulnerability Lab
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-beveiligingsprobleem, en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om een Denial of Service te veroorzaken. Dit doet zich voor vanwege toegang van een null-pointer, handle of array zonder de juiste validatie. (CVE-2022-26979, CVE-2022-27944)	Suyue Guo, Wei You van Renmin University of China
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan beveiligingspobleem met onthulling van informatie via Use-After-Free of een beveiligingsprobleem met het uitvoeren van externe programmeercode met geheugenbeschadiging, waardoor de toepassing kon vastlopen. Dit doet zich voor vanwege toegang tot een illegaal adres wanneer de toepassing de pointer niet kan bijwerken nadat de container is uitgevouwen tijdens de iteratie terwijl de methode AFSpecial_KeystrokeEx wordt verwerkt. (ZDI-CAN-17168, ZDI-CAN-17110)	Suyue Guo en Wei You van Renmin University of China in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem voor het lezen van gegevens buiten het bufferbereik (Out-of-Bounds Read) en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om informatie te onthullen of externe code uit te voeren. Dit doet zich voor wanneer de toepassing de pointer niet instelt als null nadat deze is vrijgegeven, en de pointer opnieuw vrijgeeft tijdens de daaropvolgende vernietiging bij het verwerken van bepaalde PDF-bestanden of wanneer de toepassing de abnormale parameters niet kan verwerken tijdens het proces om een database-API te maken door de functies aan te roepen vanuit het Windows-systeem tijdens het verwerken van ADBC-objecten, of objecten geforceerd transformeert zonder het gegevenstype te beoordelen tijdens het verwerken van Doc-objecten. (ZDI-CAN-17169, ZDI-CAN-17111, ZDI-CAN-17516)	Suyue Guo en Wei You van Renmin University of China in samenwerking met Trend Micro Zero Day Initiative soiax in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem via Use-After-Free of beveiligingsprobleem voor het lezen van gegevens buiten het bufferbereik (Out-of-Bounds Read) en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om informatie te onthullen of externe code uit te voeren. Dit doet zich voor vanwege toegang tot of gebruik van een wilde pointer of vrijgegeven object zonder validatie wanneer JavaScripts, Doc-objecten of AcroForms worden verwerkt. (ZDI-CAN-17383, ZDI-CAN-17327, ZDI-CAN-17301, ZDI-CAN-17545, ZDI-CAN-17550, ZDI-CAN-17551, ZDI-CAN-17552, ZDI-CAN-17661)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Krishnakant Patil en Ashfaq Ansari - HackSys Inc Krishnakant Patil en Ashfaq Ansari - HackSys Inc in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe code via Use-After-Free, waardoor de toepassing vastliep tijdens het parseren van de gegevensstroom in bepaalde PDF-bestanden. Dit wordt veroorzaakt door de schending van toegang door onjuist toegewezen geheugen wanneer er een overflow bestaat tijdens de geheugenberekening. (CNVD-C-2022-280049)	China National Vulnerability Database
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om informatie te onthullen. Dit doet zich voor als de toepassing de toewijzingsgrenzen niet kan valideren voor objecten bij de verwerking van bepaalde JavaScripts. (CVE-2022-34873, CVE-2022-34875, CVE-2022-34874)	KMFL in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative Suyue Guo en Wei You van Renmin University of China in samenwerking met het Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Use-After-Free en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren. Dit doet zich voor omdat de toepassing de null-aanwijzer zonder goede validatie gebruikt nadat het paginaobject is verwijderd bij het openen van bepaalde PDF-bestanden in de modus Volledig scherm.	Milan Kyselica

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in Foxit PDF Editor 11.2.3

Releasedatum: 26 augustus 2022

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Editor 11.2.3 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor	11.2.2.53575 en alle eerdere 11.x-versies, 10.1.8.37795 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om uw versie bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft mogelijke problemen opgelost waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem voor het lezen van gegevens buiten het bufferbereik (Out-of-Bounds Read), Type Confusion, Use-after-Free en niet-geïnitialiseerde variabele, waardoor de toepassing vastliep bij het verwerken van bepaalde JavaScripts. Dit beveiligingsprobleem kon door hackers worden gebruikt om informatie te onthullen of code op afstand uit te voeren. Dit doet zich voor als de toepassing V8 JavaScript Engine gebruikt in de verouderde versie die gevoelig is voor kwetsbaarheden. (ZDI-CAN-16599, ZDI-CAN-16733, ZDI-CAN-16867)	Seungju Oh (@real_as3617), DoHyun Lee (@l33d0hyun) van Zerocution in samenwerking met Trend Micro Zero Day Initiative DoHyun Lee(@l33d0hyun) in samenwerking met Trend Micro Zero Day Initiative DoHyun Lee(@l33d0hyun) van DNSLab, Korea University in samenwerking met Trend Micro Zero Day Initiative DoHyun Lee(@l33d0hyun) van DNSLab, Korea University René Freingruber, SEC Consult Vulnerability Lab
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-beveiligingsprobleem, en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om een Denial of Service te veroorzaken. Dit doet zich voor vanwege toegang van een null-pointer, handle of array zonder de juiste validatie. (CVE-2022-26979, CVE-2022-27944)	Suyue Guo, Wei You van Renmin University of China
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan beveiligingspobleem met onthulling van informatie via Use-After-Free of een beveiligingsprobleem met het uitvoeren van externe programmeercode met geheugenbeschadiging, waardoor de toepassing kon vastlopen. Dit doet zich voor vanwege toegang tot een illegaal adres wanneer de toepassing de pointer niet kan bijwerken nadat de container is uitgevouwen tijdens de iteratie terwijl de methode AFSpecial_KeystrokeEx wordt verwerkt. (ZDI-CAN-17168, ZDI-CAN-17110)	Suyue Guo en Wei You van Renmin University of China in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem voor het lezen van gegevens buiten het bufferbereik (Out-of-Bounds Read) en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om informatie te onthullen of externe code uit te voeren. Dit doet zich voor wanneer de toepassing de pointer niet instelt als null nadat deze is vrijgegeven, en de pointer opnieuw vrijgeeft tijdens de daaropvolgende vernietiging bij het verwerken van bepaalde PDF-bestanden of wanneer de toepassing de abnormale parameters niet kan verwerken tijdens het proces om een database-API te maken door de functies aan te roepen vanuit het Windows-systeem tijdens het verwerken van ADBC-objecten, of objecten geforceerd transformeert zonder het gegevenstype te beoordelen tijdens het verwerken van Doc-objecten. (ZDI-CAN-17169, ZDI-CAN-17111, ZDI-CAN-17516)	Suyue Guo en Wei You van Renmin University of China in samenwerking met Trend Micro Zero Day Initiative soiax in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem via Use-After-Free of beveiligingsprobleem voor het lezen van gegevens buiten het bufferbereik (Out-of-Bounds Read) en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om informatie te onthullen of externe code uit te voeren. Dit doet zich voor vanwege toegang tot of gebruik van een wilde pointer of vrijgegeven object zonder validatie wanneer JavaScripts, Doc-objecten of AcroForms worden verwerkt. (ZDI-CAN-17383, ZDI-CAN-17327, ZDI-CAN-17301, ZDI-CAN-17545, ZDI-CAN-17550, ZDI-CAN-17551, ZDI-CAN-17552, ZDI-CAN-17661)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Krishnakant Patil en Ashfaq Ansari - HackSys Inc Krishnakant Patil en Ashfaq Ansari - HackSys Inc in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe code via Use-After-Free, waardoor de toepassing vastliep tijdens het parseren van de gegevensstroom in bepaalde PDF-bestanden. Dit wordt veroorzaakt door de schending van toegang door onjuist toegewezen geheugen wanneer er een overflow bestaat tijdens de geheugenberekening. (CNVD-C-2022-280049)	China National Vulnerability Database
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om informatie te onthullen. Dit doet zich voor als de toepassing de toewijzingsgrenzen niet kan valideren voor objecten bij de verwerking van bepaalde JavaScripts. (CVE-2022-34873, CVE-2022-34875, CVE-2022-34874)	KMFL in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative Suyue Guo en Wei You van Renmin University of China in samenwerking met het Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Use-After-Free en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren. Dit doet zich voor omdat de toepassing de null-aanwijzer zonder goede validatie gebruikt nadat het paginaobject is verwijderd bij het openen van bepaalde PDF-bestanden in de modus Volledig scherm.	Milan Kyselica

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdate in Foxit Reader for Linux 2.4.5

Releasedatum: 2 augustus 2022

Platform: Linux

Overzicht

Foxit heeft Foxit Reader for Linux 2.4.5 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader for Linux	2.4.4.0910 en lager	Linux

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader for Linux op 'Nu controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader for Linux van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een Use-After-Free-beveiligingsprobleem. Dit probleem treedt op wanneer de toepassing de destructor onder png_safe_execute uitvoert. (CVE-2019-7317)	Lian Gao en Heng Yin van University of California, Riverside

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdates beschikbaar in PDF Foxit Reader 12.0.1 en Foxit PDF Editor 12.0.1

Releasedatum: 29 juli 2022

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Reader 12.0.1 en Foxit PDF Editor 12.0.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Reader (voorheen Foxit Reader)	12.0.0.12394 en eerder	Windows
Foxit PDF Editor (voorheen Foxit PhantomPDF)	12.0.0.12394, 11.2.2.53575 en alle eerdere 11.x-versies, 10.1.8.37795 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Reader of Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Reader' of 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om uw versie bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft mogelijke problemen opgelost waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem voor het lezen van gegevens buiten het bufferbereik (Out-of-Bounds Read), Type Confusion, Use-after-Free en niet-geïnitialiseerde variabele, waardoor de toepassing vastliep bij het verwerken van bepaalde JavaScripts. Dit beveiligingsprobleem kon door hackers worden gebruikt om informatie te onthullen of code op afstand uit te voeren. Dit doet zich voor als de toepassing V8 JavaScript Engine gebruikt in de verouderde versie die gevoelig is voor kwetsbaarheden. (CVE-2022-37376, CVE-2022-37377, CVE-2022-37378)	Seungju Oh (@real_as3617), DoHyun Lee (@l33d0hyun) van Zerocution in samenwerking met Trend Micro Zero Day Initiative DoHyun Lee(@l33d0hyun) in samenwerking met Trend Micro Zero Day Initiative DoHyun Lee(@l33d0hyun) van DNSLab, Korea University in samenwerking met Trend Micro Zero Day Initiative DoHyun Lee(@l33d0hyun) van DNSLab, Korea University René Freingruber, SEC Consult Vulnerability Lab
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een Null Pointer Dereference-beveiligingsprobleem, en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om een Denial of Service te veroorzaken. Dit doet zich voor vanwege toegang van een null-pointer, handle of array zonder de juiste validatie. (CVE-2022-26979, CVE-2022-27944, CVE-2022-27359)	Suyue Guo, Wei You van Renmin University of China
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan beveiligingspobleem met onthulling van informatie via Use-After-Free of een beveiligingsprobleem met het uitvoeren van externe programmeercode met geheugenbeschadiging, waardoor de toepassing kon vastlopen. Dit doet zich voor vanwege toegang tot een illegaal adres wanneer de toepassing de pointer niet kan bijwerken nadat de container is uitgevouwen tijdens de iteratie terwijl de methode AFSpecial_KeystrokeEx wordt verwerkt. (CVE-2022-37379, CVE-2022-37381)	Suyue Guo en Wei You van Renmin University of China in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem voor het lezen van gegevens buiten het bufferbereik (Out-of-Bounds Read) en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om informatie te onthullen of externe code uit te voeren. Dit doet zich voor wanneer de toepassing de pointer niet instelt als null nadat deze is vrijgegeven, en de pointer opnieuw vrijgeeft tijdens de daaropvolgende vernietiging bij het verwerken van bepaalde PDF-bestanden of wanneer de toepassing de abnormale parameters niet kan verwerken tijdens het proces om een database-API te maken door de functies aan te roepen vanuit het Windows-systeem tijdens het verwerken van ADBC-objecten, of objecten geforceerd transformeert zonder het gegevenstype te beoordelen tijdens het verwerken van Doc-objecten. (CVE-2022-37380, CVE-2022-37383, CVE-2022-37388)	Suyue Guo en Wei You van Renmin University of China in samenwerking met Trend Micro Zero Day Initiative soiax in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem via Use-After-Free of beveiligingsprobleem voor het lezen van gegevens buiten het bufferbereik (Out-of-Bounds Read) en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om informatie te onthullen of externe code uit te voeren. Dit doet zich voor vanwege toegang tot of gebruik van een wilde pointer of vrijgegeven object zonder validatie wanneer JavaScripts, Doc-objecten of AcroForms worden verwerkt. (CVE-2022-37382, CVE-2022-37384, CVE-2022-37385, CVE-2022-37389, CVE-2022-37386, CVE-2022-37390, CVE-2022-37387, CVE-2022-37391)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Krishnakant Patil en Ashfaq Ansari - HackSys Inc Krishnakant Patil en Ashfaq Ansari - HackSys Inc in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe code via Use-After-Free, waardoor de toepassing vastliep tijdens het parseren van de gegevensstroom in bepaalde PDF-bestanden. Dit wordt veroorzaakt door de schending van toegang door onjuist toegewezen geheugen wanneer er een overflow bestaat tijdens de geheugenberekening. (CNVD-C-2022-280049)	China National Vulnerability Database

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 12.0.1 en Foxit PDF Reader voor Mac 12.0.1

Releasedatum: 29 juli 2022

Platform: macOS

Overzicht

Foxit heeft Foxit PDF Editor voor Mac 12.0.1 en Foxit PDF Reader voor Mac 12.0.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	12.0.0.0601, 11.1.2.0420 en eerder	macOS
Foxit PDF Reader voor Mac (voorheen Foxit Reader Mac)	12.0.0.0601, 11.1.2.0420 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Reader voor Mac of Foxit PDF Editor voor Mac klikt u op Help > Over Foxit PDF Reader of Over Foxit PDF Editor > Controleren op updates (in versie 11 en ouder klikt u op Help > Controleren op updates) om de toepassing bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader voor Mac van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting

Met dank aan

DoHyun Lee(@l33d0hyun) van DNSLab, Korea University

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Reader 12.0 en Foxit PDF Editor 12.0

Releasedatum: 28 juni 2022

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Reader 12.0 en Foxit PDF Editor 12.0 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Reader (voorheen Foxit Reader)	11.2.2.53575 en eerder	Windows
Foxit PDF Editor (voorheen Foxit PhantomPDF)	11.2.2.53575 en alle eerdere 11.x-versies, 10.1.8.37795 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Reader of Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Reader' of 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om uw versie bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om informatie te onthullen. Dit doet zich voor als de toepassing de toewijzingsgrenzen niet kan valideren voor objecten bij de verwerking van bepaalde JavaScripts. (CVE-2022-34873, CVE-2022-34875, CVE-2022-34874)	KMFL in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative Suyue Guo en Wei You van Renmin University of China in samenwerking met het Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Use-After-Free en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren. Dit doet zich voor omdat de toepassing de null-aanwijzer zonder goede validatie gebruikt nadat het paginaobject is verwijderd bij het openen van bepaalde PDF-bestanden in de modus Volledig scherm.	Milan Kyselica

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PhantomPDF 10.1.8

Releasedatum: 21 juni 2022

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 10.1.8 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	10.1.7.37777 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Denial of Service vanwege verwijdering van referenties van null-aanwijzers en kon vastlopen. Dit wordt veroorzaakt door een fout met het parseren bij het uitvoeren van JavaScripts in bepaalde PDF-bestanden. (CNVD-C-2021-205525)	Xu Peng van UCAS en Ying Lingyun van het QiAnXin Technology Research Institute China National Vulnerability Database
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een toegangsfout bij leesbewerkingen, waardoor de toepassing vastliep. Dit gebeurt door het gebruik van een null-aanwijzer zonder de juiste validatie, omdat de toepassing er niet in slaagt het CF-woordenboek te verkrijgen wanneer bepaalde gecodeerde PDF's met een abnormaal versleutelingswoordenboek worden verwerkt.	Milan Kyselica
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een aanval via incrementele opslag en schaduwaanval en onjuiste handtekeninginformatie kon leveren bij het verwerken van bepaalde ondertekende PDF-bestanden. Dit wordt veroorzaakt door een fout bij het parseren, omdat de parsingengine de kruisverwijzingsinformatie niet correct kan gebruiken bij het parseren van bepaalde gecomprimeerde objecten. (CVE-2022-25641)	Raphael Sütterlin, Vladislav Mladenov, Christian Mainka, Simon Rohlmann en Jörg Schwenk van de Ruhr-Universität Bochum, Chair for Network and Data Security
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring, waardoor de toepassing vastliep tijdens het uitvoeren van bepaalde JavaScripts. Dit doet zich voor vanwege het onjuist compileren voor een Unsigned32-resultaat in de V8 JavaScript Engine. (CVE-2022-30557)	DoHyun Lee(@l33d0hyun)
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem van leesbewerkingen buiten de grenswaarden of bij de uitvoering van externe code bij Use-after-Free en kon vastlopen wanneer bepaalde Acroformulieren, documentobjecten of aantekeningsobjecten werden verwerkt. Dit treedt op omdat de toepassing de aanwijzer, de variabele of het object gebruikt of toegang krijgt tot het geheugen dat is vrijgemaakt zonder de vereiste validatie. (CVE-2022-28670, CVE-2022-28669, CVE-2022-28671, CVE-2022-28672, CVE-2022-28673, CVE-2022-28675, CVE-2022-28676, CVE-2022-28674, CVE-2022-28678, CVE-2022-28680, CVE-2022-28679)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe code bij Use-after-Free, waardoor de toepassing kon vastlopen. Dit doet zich voor vanwege het gebruik van een object dat is vrijgemaakt omdat de toepassing het exemplaar van de aanwijzer niet kan bijwerken nadat een pagina is verwijderd bij het uitvoeren van de methode deletePages. (CVE-2022-28677, CVE-2022-28681, CVE-2022-28683)	Anonymous in samenwerking met Trend Micro Zero Day Initiative KMFL in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren. Dit doet zich voor als de toepassing de toewijzingsgrenzen niet kan valideren voor objecten bij de verwerking van bepaalde JavaScripts. (CVE-2022-28682)	Suyue Guo en Wei You van Renmin University of China in samenwerking met het Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Reader 11.2.2 en Foxit PDF Editor 11.2.2

Releasedatum: 9 mei 2022

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Reader 11.2.2 en Foxit PDF Editor 11.2.2 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Reader (voorheen Foxit Reader)	11.2.1.53537 en eerder	Windows
Foxit PDF Editor (voorheen Foxit PhantomPDF)	11.2.1.53537 en alle eerdere 11.x-versies, 10.1.7.37777 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Reader of Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Reader' of 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om uw versie bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met Denial of Service vanwege verwijdering van referenties van null-aanwijzers en kon vastlopen. Dit wordt veroorzaakt door een fout met het parseren bij het uitvoeren van JavaScripts in bepaalde PDF-bestanden. (CNVD-C-2021-205525)	Xu Peng van UCAS en Ying Lingyun van het QiAnXin Technology Research Institute China National Vulnerability Database
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een toegangsfout bij leesbewerkingen, waardoor de toepassing vastliep. Dit gebeurt door het gebruik van een null-aanwijzer zonder de juiste validatie, omdat de toepassing er niet in slaagt het CF-woordenboek te verkrijgen wanneer bepaalde gecodeerde PDF's met een abnormaal versleutelingswoordenboek worden verwerkt.	Milan Kyselica
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een aanval via incrementele opslag en schaduwaanval en onjuiste handtekeninginformatie kon leveren bij het verwerken van bepaalde ondertekende PDF-bestanden. Dit wordt veroorzaakt door een fout bij het parseren, omdat de parsingengine de kruisverwijzingsinformatie niet correct kan gebruiken bij het parseren van bepaalde gecomprimeerde objecten. (CVE-2022-25641)	Raphael Sütterlin, Vladislav Mladenov, Christian Mainka, Simon Rohlmann en Jörg Schwenk van de Ruhr-Universität Bochum, Chair for Network and Data Security
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring, waardoor de toepassing vastliep tijdens het uitvoeren van bepaalde JavaScripts. Dit doet zich voor vanwege het onjuist compileren voor een Unsigned32-resultaat in de V8 JavaScript Engine. (CVE-2022-30557)	DoHyun Lee(@l33d0hyun)
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem van leesbewerkingen buiten de grenswaarden of bij de uitvoering van externe code bij Use-after-Free en kon vastlopen wanneer bepaalde Acroformulieren, documentobjecten of aantekeningsobjecten werden verwerkt. Dit treedt op omdat de toepassing de aanwijzer, de variabele of het object gebruikt of toegang krijgt tot het geheugen dat is vrijgemaakt zonder de vereiste validatie. (CVE-2022-28670, CVE-2022-28669, CVE-2022-28671, CVE-2022-28672, CVE-2022-28673, CVE-2022-28675, CVE-2022-28676, CVE-2022-28674, CVE-2022-28678, CVE-2022-28680, CVE-2022-28679)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe code bij Use-after-Free, waardoor de toepassing kon vastlopen. Dit doet zich voor vanwege het gebruik van een object dat is vrijgemaakt omdat de toepassing het exemplaar van de aanwijzer niet kan bijwerken nadat een pagina is verwijderd bij het uitvoeren van de methode deletePages. (CVE-2022-28677, CVE-2022-28681, CVE-2022-28683)	Anonymous in samenwerking met Trend Micro Zero Day Initiative KMFL in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden en kon vastlopen. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren. Dit doet zich voor als de toepassing de toewijzingsgrenzen niet kan valideren voor objecten bij de verwerking van bepaalde JavaScripts. (CVE-2022-28682)	Suyue Guo en Wei You van Renmin University of China in samenwerking met het Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PhantomPDF 10.1.7

Releasedatum: 3 maart 2022

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 10.1.7 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	10.1.6.37749 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem vanwege de overloop van een stackgebaseerde buffer, waardoor de toepassing crashte. Dit komt door het gebruik van abnormale gegevens zonder de juiste validatie bij het verwerken van een XFA-bestand dat onjuiste kenmerkwaarden bevat in het knooppunt van een widget. (CVE-2022-24954)	DoHyun Lee(@l33d0hyun) en JaeHyuk Lim DoHyun Lee(@l33d0hyun)
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten grenswaarden, heapoverloop, beschadiging van geheugen, verwijdering van de referentie naar een null-aanwijzer of overloop van stackbuffer, waardoor de toepassing vastliep tijdens het converteren van bepaalde PDF-bestanden naar Office-bestanden. Dit gebeurt als de toepassing gegevens leest buiten de grenswaarden, ongeldig gewijzigd geheugen benadert, de null-aanwijzer gebruikt of de gegevens leest of schrijft voorbij de stackbuffer. (CVE -2021-40729, CVE-2021-44709, ZS-VR-21-106, ZS-VR-21-107, ZS-VR-21-108, ZS-VR-21-109, CVE-2021-44740, CVE-2021-44741, CVE-2021-44708, ZS-VR-21-116)	Kai Lu van Zscaler's ThreatLabz
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met geheugenlekken en lees-/schrijfbewerkingen buiten de grenswaarden, waardoor de toepassing crashte. Dit gebeurt omdat de V8 JavaScript Engine er geen rekening mee houdt dat de waarde van een variabel type kan worden veranderd in NaN door het optellen of aftrekken van oneindigheden, en er niet in slaagt om de abnormale gegevens goed te controleren en te verwerken tijdens het afhandelen van het JavaScript.	Dongjun shin(@__sindo)
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem vanwege verwijdering van referenties van null-aanwijzers of matrix buiten grenswaarden, waardoor de toepassing crashte tijdens het parseren van bepaalde PDF-bestanden. Dit gebeurt door het gebruik van een null-aanwijzer of een ongeldig object zonder de juiste validatie. (CVE-2022-25108)	DoHyun Lee(@l33d0hyun) en SeungJu Oh(@real_as3617)
Heeft een mogelijk probleem opgelost, waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de escalatie van bevoegdheden voor een niet-gecontroleerd zoekpadelement. Dit probleem kon door aanvallers worden misbruikt om schadelijke DLL-bestanden uit te voeren. Dit gebeurt omdat de toepassing geen absoluut pad opgeeft bij het zoeken naar de DLL-bibliotheek. (CVE-2022-24955)	DoHyun Lee(@l33d0hyun)
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het vrijgeven van informatie tijdens de verwerking van de opmaakspecificaties. Dit gebeurt omdat de functie util.printf de tekenreeks met de notatie %llx niet goed verwerkt.	Trifescu Stefan-Octavian
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode voor Use-After-Free of leesbewerkingen buiten grenswaarden, waardoor de toepassing crashte tijdens het verwijderen van pagina's in bepaalde PDF-bestanden met behulp van de JavaScript API. Dit gebeurt vanwege het gebruik van een vrijgegeven object of het lezen van gegevens buiten de grenswaarden, omdat de toepassing de paginaweergave ten onrechte verwijdert, ook al heeft de PDF-engine de pagina niet succesvol verwijderd. (CVE-2022-24359, CVE-2022-24358)	Anonymous in samenwerking met Trend Micro Zero Day Initiative
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij de uitvoering van externe code bij Use-after-Free en kon vastlopen wanneer bepaalde aantekeningsobjecten, documentobjecten of Acroformulieren werden verwerkt. Dit gebeurt door het gebruik van wilde aanwijzers of vrijgegeven objecten zonder de juiste validatie. (CVE-2022-24357, CVE-2022-24360, CVE-2022-24363, CVE-2022-24362, CVE-2021-40420, CVE-2022-24364, CVE-2022-24365, CVE-2022-24366, CVE-2022-24367, CVE-2022-24368)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Aleksandar Nikolic van Cisco Talos Ashfaq Ansari en Krishnakant Patil - HackSys Inc in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij de uitvoering van externe programmeercode van lees-/schrijfbewerkingen buiten de grenswaarden, waardoor de toepassing vastliep tijdens het parseren van bepaalde JPEG2000- of JP2-bestanden met relatief grote waarden in hun kenmerken. Dit wordt veroorzaakt door de schending van de geheugentoegang als gevolg van de onjuist berekende waarde, omdat er een overloop optreedt bij de berekening van de geheugengrootte of de buffergrootte die moet worden toegewezen. (CVE-2022-24361, CVE-2022-24971, CVE-2022-24369, CVE-2022-24907, CVE-2022-24908)	Anonymous in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schending van leestoegang, waardoor de toepassing crashte tijdens het parseren van bepaalde U3D-bestanden. Dit gebeurt door het gebruik van een ongeldige aanwijzer zonder de juiste validatie.	Milan Kyselica
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schending van leestoegang, waardoor de toepassing vastliep tijdens het parseren van bepaalde PDF-bestanden. Dit gebeurt omdat de toepassing het null-woordenboekobject krijgt omdat de EFF-informatie die uit het PDF-bestand komt niet overeenkomt met de eigenlijke woordenboeknaam, en het null-woordenboekobject gebruikt zonder de juiste validatie.	Milan Kyselica
Een potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan geheugenbeschadiging en kon crashen bij het verwerken van bepaalde methoden in JavaScript. Dit wordt veroorzaakt door de fout voor matrix buiten de grenzen als gevolg van het ontbreken van de juiste validatie voor de parameter in de methode. (CVE-2022-22150)	Aleksandar Nikolic van Cisco Talos
Probleem verholpen waarbij de toepassing kon worden blootgesteld aan diverse aanvallen als het XML-configuratiebestand van de logboekfunctie van de iManage 10-plug-in werd gewijzigd. (CVE-2018-1285)

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Reader 11.2.1 en Foxit PDF Editor 11.2.1

Releasedatum: 28 januari 2022

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Reader 11.2.1 en Foxit PDF Editor 11.2.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Reader (voorheen Foxit Reader)	11.1.0.52543 en eerder	Windows
Foxit PDF Editor (voorheen Foxit PhantomPDF)	11.2.0.53415 en alle eerdere 11.x-versies, 10.1.6.37749 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Reader of Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Reader' of 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om uw versie bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem vanwege de overloop van een stackgebaseerde buffer, waardoor de toepassing crashte. Dit komt door het gebruik van abnormale gegevens zonder de juiste validatie bij het verwerken van een XFA-bestand dat onjuiste kenmerkwaarden bevat in het knooppunt van een widget. (CVE-2022-24954)	DoHyun Lee(@l33d0hyun) en JaeHyuk Lim DoHyun Lee(@l33d0hyun)
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten grenswaarden, heapoverloop, beschadiging van geheugen, verwijdering van de referentie naar een null-aanwijzer of overloop van stackbuffer, waardoor de toepassing vastliep tijdens het converteren van bepaalde PDF-bestanden naar Office-bestanden. Dit gebeurt als de toepassing gegevens leest buiten de grenswaarden, ongeldig gewijzigd geheugen benadert, de null-aanwijzer gebruikt of de gegevens leest of schrijft voorbij de stackbuffer. (CVE -2021-40729, CVE-2021-44709, ZS-VR-21-106, ZS-VR-21-107, ZS-VR-21-108, ZS-VR-21-109, CVE-2021-44740, CVE-2021-44741, CVE-2021-44708, ZS-VR-21-116)	Kai Lu van Zscaler's ThreatLabz
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met geheugenlekken en lees-/schrijfbewerkingen buiten de grenswaarden, waardoor de toepassing crashte. Dit gebeurt omdat de V8 JavaScript Engine er geen rekening mee houdt dat de waarde van een variabel type kan worden veranderd in NaN door het optellen of aftrekken van oneindigheden, en er niet in slaagt om de abnormale gegevens goed te controleren en te verwerken tijdens het afhandelen van het JavaScript.	Dongjun shin(@__sindo)
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem vanwege verwijdering van referenties van null-aanwijzers of matrix buiten grenswaarden, waardoor de toepassing crashte tijdens het parseren van bepaalde PDF-bestanden. Dit gebeurt door het gebruik van een null-aanwijzer of een ongeldig object zonder de juiste validatie. (CVE-2022-25108)	DoHyun Lee(@l33d0hyun) en SeungJu Oh(@real_as3617)
Heeft een mogelijk probleem opgelost, waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de escalatie van bevoegdheden voor een niet-gecontroleerd zoekpadelement. Dit probleem kon door aanvallers worden misbruikt om schadelijke DLL-bestanden uit te voeren. Dit gebeurt omdat de toepassing geen absoluut pad opgeeft bij het zoeken naar de DLL-bibliotheek. (CVE-2022-24955)	DoHyun Lee(@l33d0hyun)
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het vrijgeven van informatie tijdens de verwerking van de opmaakspecificaties. Dit gebeurt omdat de functie util.printf de tekenreeks met de notatie %llx niet goed verwerkt.	Trifescu Stefan-Octavian
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode voor Use-After-Free of leesbewerkingen buiten grenswaarden, waardoor de toepassing crashte tijdens het verwijderen van pagina's in bepaalde PDF-bestanden met behulp van de JavaScript API. Dit gebeurt vanwege het gebruik van een vrijgegeven object of het lezen van gegevens buiten de grenswaarden, omdat de toepassing de paginaweergave ten onrechte verwijdert, ook al heeft de PDF-engine de pagina niet succesvol verwijderd. (CVE-2022-24359, CVE-2022-24358)	Anonymous in samenwerking met Trend Micro Zero Day Initiative
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij de uitvoering van externe code bij Use-after-Free en kon vastlopen wanneer bepaalde aantekeningsobjecten, documentobjecten of Acroformulieren werden verwerkt. Dit gebeurt door het gebruik van wilde aanwijzers of vrijgegeven objecten zonder de juiste validatie. (CVE-2022-24357, CVE-2022-24360, CVE-2022-24363, CVE-2022-24362, CVE-2021-40420, CVE-2022-24364, CVE-2022-24365, CVE-2022-24366, CVE-2022-24367, CVE-2022-24368)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Aleksandar Nikolic van Cisco Talos Ashfaq Ansari en Krishnakant Patil - HackSys Inc in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij de uitvoering van externe programmeercode van lees-/schrijfbewerkingen buiten de grenswaarden, waardoor de toepassing vastliep tijdens het parseren van bepaalde JPEG2000- of JP2-bestanden met relatief grote waarden in hun kenmerken. Dit wordt veroorzaakt door de schending van de geheugentoegang als gevolg van de onjuist berekende waarde, omdat er een overloop optreedt bij de berekening van de geheugengrootte of de buffergrootte die moet worden toegewezen. (CVE-2022-24361, CVE-2022-24971, CVE-2022-24369, CVE-2022-24907, CVE-2022-24908)	Anonymous in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schending van leestoegang, waardoor de toepassing crashte tijdens het parseren van bepaalde U3D-bestanden. Dit gebeurt door het gebruik van een ongeldige aanwijzer zonder de juiste validatie.	Milan Kyselica
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schending van leestoegang, waardoor de toepassing vastliep tijdens het parseren van bepaalde PDF-bestanden. Dit gebeurt omdat de toepassing het null-woordenboekobject krijgt omdat de EFF-informatie die uit het PDF-bestand komt niet overeenkomt met de eigenlijke woordenboeknaam, en het null-woordenboekobject gebruikt zonder de juiste validatie.	Milan Kyselica
Een potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan geheugenbeschadiging en kon crashen bij het verwerken van bepaalde methoden in JavaScript. Dit wordt veroorzaakt door de fout voor matrix buiten de grenzen als gevolg van het ontbreken van de juiste validatie voor de parameter in de methode. (CVE-2022-22150)	Aleksandar Nikolic van Cisco Talos
Probleem verholpen waarbij de toepassing kon worden blootgesteld aan diverse aanvallen als het XML-configuratiebestand van de logboekfunctie van de iManage 10-plug-in werd gewijzigd. (CVE-2018-1285)

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 11.1.1 en Foxit PDF Reader voor Mac 11.1.1

Releasedatum: 28 januari 2022

Platform: macOS

Overzicht

Foxit heeft Foxit PDF Editor voor Mac 11.1.1 en Foxit PDF Reader voor Mac 11.1.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	11.1.0.0925 en eerder	macOS
Foxit PDF Reader voor Mac (voorheen Foxit Reader Mac)	11.1.0.0925 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit PDF Editor voor Mac of Foxit PDF Reader voor Mac op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader voor Mac van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Samenvatting	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing crashte. Dit gebeurt door de schending van gegevenstoegang veroorzaakt door de fout voor matrix buiten de grenswaarden omdat de toepassing het object niet correct kan valideren bij het verwerken van het breedtekenmerk van bepaalde XFA-widgets (CVE-2022-24370).	DoHyun Lee(@l33d0hyun) in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij de uitvoering van externe programmeercode, waardoor de toepassing crashte. Dit gebeurt doordat de toepassing het paginaobject niet tijdig verwijdert nadat een pagina is verwijderd (CVE-2022-24356).	DoHyun Lee(@l33d0hyun) in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

2021

Beschikbare beveiligingsupdates in Foxit PhantomPDF 10.1.6

Releasedatum: 29 november 2021

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 10.1.6 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	10.1.5.37672 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan de verwijdering van de referentie naar een null-aanwijzer of een probleem met een toegangsfout bij leesbewerkingen, waardoor de toepassing crashte. Dit gebeurt tijdens de verwerking van bepaalde onjuist gevormde PDF-bestanden als gevolg van het gebruik van een null-aanwijzer, een wilde aanwijzer, een ongeldige aanwijzer of een niet-geïnitialiseerde aanwijzer zonder goede validatie. (CNVD-C-2021-205496, CNVD-C-2021-205515, CNVD-C-2021-205541)	JaeHyuk Lim en DoHyun Lee(@l33d0hyun) Milan Kyselica van IstroSec Xu Peng van UCAS en Wang Yanhao van het QiAnXin Technology Research Institute China National Vulnerability Database
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de uitvoering van code op afstand waarbij een aanwijzer werd verwijderd of aan lees-/schrijfbewerkingen buiten de grenswaarden en kon crashen bij het converteren van bepaalde PDF-bestanden naar Office-bestanden. Dit gebeurt wanneer de toepassing de vrijgemaakte aanwijzer of de niet-geïnitialiseerde variabele gebruikt of opent of waarden buiten de grenswaarden leest/schrijft.	Ariele Caltabiano (kimiya) Haboob Lab
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan beveiligingsproblemen in de vorm van een NTLM v2-authenticatielek of 'Use-after-Free', waardoor de toepassing crashte. Dit gebeurt wanneer de add-on van de browser het URL-pad per vergissing converteert tijdens de verwerking van een URL die niet werkelijk toegankelijk is of de com-API niet correct gebruikt tijdens de downloadprocedure.	j00sean
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan 'Use-after-Free', lezen buiten de grenswaarden, een toegangsfout bij leesbewerkingen, de verwijdering van de referentie naar een null-aanwijzer of een niet-geïnitialiseerde toegang tot het geheugen, waardoor de toepassing crashte, met als gevolg dat hackers code op afstand konden uitvoeren, informatie openbaar konden maken of een Denial of Service konden veroorzaken. Dit treedt op door het gebruik van of de toegang tot geheugen, aanwijzers of objecten die zijn vrijgemaakt zonder de vereiste validatie bij de verwerking van bepaalde JavaScripts of aantekeningenobjecten. (CVE-2021-34948/CNVD-C-2021-247425, CVE-2021-34950, CVE-2021-34953, CVE-2021-34952/CNVD-C-2021-247417, CNVD-C-2021-205550, CVE-2021-34968, CVE-2021-34969/CNVD-C-2021-247399, CVE-2021-34972, CNVD-C-2021-247393, CNVD-C-2021-247404, CNVD-C-2021-247448, CNVD-C-2021-247458, CNVD-C-2021-247464, CVE-2021-41780, CVE-2021-41785, CVE-2021-41783, CVE-2021-41782, CVE-2021-41784, CVE-2021-41781, CVE-2021-34974, CVE-2021-34975)	ZhangJiaxing(@r0fm1a) van het Codesafe Team van Legendsec bij Qi'anxin Group in samenwerking met het Trend Micro Zero Day Initiative Xu Peng van UCAS en Wang Yanhao van het QiAnXin Technology Research Institute ZhangJiaxing(@r0fm1a) van het Codesafe Team van Legendsec bij Qi'anxin Group Milan Kyselica van IstroSec China National Vulnerability Database cor3sm4sh3r in samenwerking met Volon Cyber Security Pvt Ltd in samenwerking met het Trend Micro Zero Day Initiative Steven Seeley van Qihoo 360 Vulcan Team Rich in samenwerking met het Trend Micro Zero Day Initiative
Heeft mogelijke problemen opgelost waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lezen buiten de grenswaarden, 'Use-after-Free' en Type Confusion, waardoor de toepassing crashte. Dit beveiligingsprobleem kon door hackers worden gebruikt om informatie vrij te geven of code op afstand uit te voeren. Dit gebeurt bij de verwerking van bepaalde objecten, aangezien de toepassing objecten geforceerd transformeert zonder het gegevenstype te beoordelen en de ongeldige aanwijzer of het geheugen gebruikt zonder de juiste validatie. (CVE-2021-34949, CVE-2021-34951/CNVD-C-2021-247436, CVE-2021-34954, CVE-2021-34955, CVE-2021-34956, CVE-2021-34957, CVE-2021-34958, CVE-2021-34959, CVE-2021-34965, CVE-2021-34960, CVE-2021-34961, CVE-2021-34962, CVE-2021-34963, CVE-2021-34964, CVE-2021-34966, CVE-2021-34967)	ZhangJiaxing(@r0fm1a) van het Codesafe Team van Legendsec bij Qi'anxin Group in samenwerking met het Trend Micro Zero Day Initiative Xu Peng van UCAS en Wang Yanhao van het QiAnXin Technology Research Institute cor3sm4sh3r in samenwerking met Volon Cyber Security Pvt Ltd in samenwerking met het Trend Micro Zero Day Initiative Anonymous in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem opgelost waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem in de vorm van een willekeurige schrijfbewerking tijdens de verificatie van digitale handtekeningen in bepaalde PDF-bestanden, wat door hackers kon worden gebruikt om de gecontroleerde inhoud weer te geven. Dit gebeurt als gevolg van het gebrek aan een goede validatie voor de verborgen en incrementele gegevens in de digitaal ondertekende PDF-bestanden. (CVE-2021-40326)	Vladislav Mladenov, Simon Rohlmann, Christian Mainka en Jörg Schwenk van de Ruhr-Universität Bochum, Chair for Network and Data Security
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden, waardoor de toepassing crashte. Dit gebeurt bij de verwerking van JavaScript in bepaalde PDF-bestanden doordat arrays buiten de grenzen worden geopend zonder de juiste validatie.	Xu Peng van UCAS en Wang Yanhao van het QiAnXin Technology Research Institute
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een stackoverloop of Denial of Service-aanval, waardoor de toepassing vastliep. Dit wordt veroorzaakt door het mechanisme van de oneindige lus, oneindige onderlinge recursie of onjuist bufferbeheer bij de verwerking van bepaalde JavaScripts.	Xu Peng van UCAS en Wang Yanhao van het QiAnXin Technology Research Institute
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een Denial of Service-aanval en crashte bij het verwerken van bepaalde PDF-bestanden die ongeldige woordenboekvermeldingen of onjuiste overzichten bevatten (CNVD-C-2021-247433).	Xu Peng van UCAS en Wang Yanhao van het QiAnXin Technology Research Institute China National Vulnerability Database
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden, waardoor de toepassing crashte. Dit gebeurt wanneer de ingesloten lettertypen in sommige PDF-bestanden worden opgehaald, omdat het aantal bytes de streamlengte overschrijdt. (CVE-2021-34976, CVE-2021-34973)	Milan Kyselica van IstroSec in samenwerking met het Trend Micro Zero Day Initiative DoHyun Lee(@l33d0hyun) en Jeonghoon Shin(@singi21a) van KITRI 'BEST OF THE BEST' in samenwerking met het Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het vrijgeven van informatie tijdens de verwerking van de opmaakspecificaties. Dit gebeurt omdat de functie util.printf de opmaakextensie niet goed verwerkt. (CVE-2021-34970)	sindo in samenwerking met het Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de overloop van de heapbuffer bij het uitvoeren van externe programmeercode, waardoor de toepassing kon crashen. Dit gebeurt omdat de toepassing de gegevens op basis van de verkeerde regio schrijft, die berekend is bij het parseren van bepaalde JPEG2000-bestanden. (CVE-2021-34971)	Milan Kyselica van IstroSec in samenwerking met het Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een kwetsbaarheid met betrekking tot het uitvoeren van een willekeurig bestand bij het verwerken van bijlagen of het indienen van formulieren. Dit komt doordat het achtervoegsel en het pad van het bestand niet correct zijn gevalideerd.	Pontus Keski-Pukkila van Hoxhunt

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Reader 11.1 en Foxit PDF Editor 11.1

Releasedatum: 12 oktober 2021

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Reader 11.1 en Foxit PDF Editor 11.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Reader (voorheen Foxit Reader)	11.0.1.49938 en eerder	Windows
Foxit PDF Editor (voorheen Foxit PhantomPDF)	11.0.1.49938, 11.0.0.49893, 10.1.5.37672 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Reader of Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Reader' of 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om uw versie bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan de verwijdering van de referentie naar een null-aanwijzer of een probleem met een toegangsfout bij leesbewerkingen, waardoor de toepassing crashte. Dit gebeurt tijdens de verwerking van bepaalde onjuist gevormde PDF-bestanden als gevolg van het gebruik van een null-aanwijzer, een wilde aanwijzer, een ongeldige aanwijzer of een niet-geïnitialiseerde aanwijzer zonder goede validatie. (CNVD-C-2021-205496, CNVD-C-2021-205515, CNVD-C-2021-205541)	rwxcode van nsfocus security team JaeHyuk Lim en DoHyun Lee(@l33d0hyun) Milan Kyselica van IstroSec Xu Peng van UCAS en Wang Yanhao van het QiAnXin Technology Research Institute China National Vulnerability Database
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de uitvoering van code op afstand waarbij een aanwijzer werd verwijderd of aan lees-/schrijfbewerkingen buiten de grenswaarden en kon crashen bij het converteren van bepaalde PDF-bestanden naar Office-bestanden. Dit gebeurt wanneer de toepassing de vrijgemaakte aanwijzer of de niet-geïnitialiseerde variabele gebruikt of opent of waarden buiten de grenswaarden leest/schrijft.	Ariele Caltabiano (kimiya) Haboob Lab
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan beveiligingsproblemen in de vorm van een NTLM v2-authenticatielek of 'Use-after-Free', waardoor de toepassing crashte. Dit gebeurt wanneer de add-on van de browser het URL-pad per vergissing converteert tijdens de verwerking van een URL die niet werkelijk toegankelijk is of de com-API niet correct gebruikt tijdens de downloadprocedure.	j00sean
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan 'Use-after-Free', lezen buiten de grenswaarden, een toegangsfout bij leesbewerkingen, de verwijdering van de referentie naar een null-aanwijzer of een niet-geïnitialiseerde toegang tot het geheugen, waardoor de toepassing crashte, met als gevolg dat hackers code op afstand konden uitvoeren, informatie openbaar konden maken of een Denial of Service konden veroorzaken. Dit treedt op door het gebruik van of de toegang tot geheugen, aanwijzers of objecten die zijn vrijgemaakt zonder de vereiste validatie bij de verwerking van bepaalde JavaScripts of aantekeningenobjecten. (CVE-2021-34948/CNVD-C-2021-247425, CVE-2021-34950, CVE-2021-34953, CVE-2021-34952/CNVD-C-2021-247417, CNVD-C-2021-205550, CVE-2021-34968, CVE-2021-34969/CNVD-C-2021-247399, CVE-2021-34972, CNVD-C-2021-247393, CNVD-C-2021-247404, CNVD-C-2021-247448, CNVD-C-2021-247458, CNVD-C-2021-247464, CVE-2021-41780, CVE-2021-41785, CVE-2021-41783, CVE-2021-41782, CVE-2021-41784, CVE-2021-41781, CVE-2021-34974, CVE-2021-34975)	ZhangJiaxing(@r0fm1a) van het Codesafe Team van Legendsec bij Qi'anxin Group in samenwerking met het Trend Micro Zero Day Initiative Xu Peng van UCAS en Wang Yanhao van het QiAnXin Technology Research Institute ZhangJiaxing(@r0fm1a) van het Codesafe Team van Legendsec bij Qi'anxin Group Milan Kyselica van IstroSec China National Vulnerability Database cor3sm4sh3r in samenwerking met Volon Cyber Security Pvt Ltd in samenwerking met het Trend Micro Zero Day Initiative Steven Seeley van Qihoo 360 Vulcan Team Rich in samenwerking met het Trend Micro Zero Day Initiative
Heeft mogelijke problemen opgelost waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lezen buiten de grenswaarden, 'Use-after-Free' en Type Confusion, waardoor de toepassing crashte. Dit beveiligingsprobleem kon door hackers worden gebruikt om informatie vrij te geven of code op afstand uit te voeren. Dit gebeurt bij de verwerking van bepaalde objecten, aangezien de toepassing objecten geforceerd transformeert zonder het gegevenstype te beoordelen en de ongeldige aanwijzer of het geheugen gebruikt zonder de juiste validatie. (CVE-2021-34949, CVE-2021-34951/CNVD-C-2021-247436, CVE-2021-34954, CVE-2021-34955, CVE-2021-34956, CVE-2021-34957, CVE-2021-34958, CVE-2021-34959, CVE-2021-34965, CVE-2021-34960, CVE-2021-34961, CVE-2021-34962, CVE-2021-34963, CVE-2021-34964, CVE-2021-34966, CVE-2021-34967)	ZhangJiaxing(@r0fm1a) van het Codesafe Team van Legendsec bij Qi'anxin Group in samenwerking met het Trend Micro Zero Day Initiative Xu Peng van UCAS en Wang Yanhao van het QiAnXin Technology Research Institute cor3sm4sh3r in samenwerking met Volon Cyber Security Pvt Ltd in samenwerking met het Trend Micro Zero Day Initiative Anonymous in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem opgelost waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem in de vorm van een willekeurige schrijfbewerking tijdens de verificatie van digitale handtekeningen in bepaalde PDF-bestanden, wat door hackers kon worden gebruikt om de gecontroleerde inhoud weer te geven. Dit gebeurt als gevolg van het gebrek aan een goede validatie voor de verborgen en incrementele gegevens in de digitaal ondertekende PDF-bestanden. (CVE-2021-40326)	Vladislav Mladenov, Simon Rohlmann, Christian Mainka en Jörg Schwenk van de Ruhr-Universität Bochum, Chair for Network and Data Security
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden, waardoor de toepassing crashte. Dit gebeurt bij de verwerking van JavaScript in bepaalde PDF-bestanden doordat arrays buiten de grenzen worden geopend zonder de juiste validatie.	Xu Peng van UCAS en Wang Yanhao van het QiAnXin Technology Research Institute
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een stackoverloop of Denial of Service-aanval, waardoor de toepassing vastliep. Dit wordt veroorzaakt door het mechanisme van de oneindige lus, oneindige onderlinge recursie of onjuist bufferbeheer bij de verwerking van bepaalde JavaScripts.	Xu Peng van UCAS en Wang Yanhao van het QiAnXin Technology Research Institute
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een Denial of Service-aanval en crashte bij het verwerken van bepaalde PDF-bestanden die ongeldige woordenboekvermeldingen of onjuiste overzichten bevatten (CNVD-C-2021-247433).	Xu Peng van UCAS en Wang Yanhao van het QiAnXin Technology Research Institute China National Vulnerability Database
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden, waardoor de toepassing crashte. Dit gebeurt wanneer de ingesloten lettertypen in sommige PDF-bestanden worden opgehaald, omdat het aantal bytes de streamlengte overschrijdt. (CVE-2021-34976, CVE-2021-34973)	Milan Kyselica van IstroSec in samenwerking met het Trend Micro Zero Day Initiative DoHyun Lee(@l33d0hyun) en Jeonghoon Shin(@singi21a) van KITRI 'BEST OF THE BEST' in samenwerking met het Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het vrijgeven van informatie tijdens de verwerking van de opmaakspecificaties. Dit gebeurt omdat de functie util.printf de opmaakextensie niet goed verwerkt. (CVE-2021-34970)	sindo in samenwerking met het Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de overloop van de heapbuffer bij het uitvoeren van externe programmeercode, waardoor de toepassing kon crashen. Dit gebeurt omdat de toepassing de gegevens op basis van de verkeerde regio schrijft, die berekend is bij het parseren van bepaalde JPEG2000-bestanden. (CVE-2021-34971)	Milan Kyselica van IstroSec in samenwerking met het Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een kwetsbaarheid met betrekking tot het uitvoeren van een willekeurig bestand bij het verwerken van bijlagen of het indienen van formulieren. Dit komt doordat het achtervoegsel en het pad van het bestand niet correct zijn gevalideerd.	Pontus Keski-Pukkila van Hoxhunt

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 11.1 en Foxit PDF Reader voor Mac 11.1

Releasedatum: 12 oktober 2021

Platform: macOS

Overzicht

Foxit heeft Foxit PDF Editor voor Mac 11.1 en Foxit PDF Reader voor Mac 11.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	11.0.1.0719 en eerder	macOS
Foxit PDF Reader voor Mac (voorheen Foxit Reader Mac)	11.0.1.0719 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit PDF Editor voor Mac of Foxit PDF Reader voor Mac op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader voor Mac van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij het uitvoeren van externe programmeercode. Dit komt omdat de toepassing toelaat dat de lokale programma's kunnen worden geopend door bepaalde JavaScripts uit te voeren zonder goede validatie (CVE-2021-45978, CVE-2021-45979, CVE-2021-45980) .	DoHyun Lee(@l33d0hyun)
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem vanwege de verwijdering van de referentie naar een null-aanwijzer, waardoor de toepassing crashte. Dit gebeurt tijdens de verwerking van bepaalde onjuist gevormde PDF-bestanden als gevolg van het gebruik van een null-aanwijzer zonder goede validatie.	JaeHyuk Lim en DoHyun Lee(@l33d0hyun)

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PhantomPDF 10.1.5

Releasedatum: 26 augustus 2021

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 10.1.5 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	10.1.4.37651 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lees-/schrijfbewerkingen buiten de grenswaarden of een dereferentie van een null-aanwijzer, waardoor de toepassing vastliep tijdens het parseren van bepaalde PDF-bestanden. Dit gebeurt door de toegangsfout in het array-subscript bij het opslaan van de offset-waarde voor het indirecte object, omdat de arraygrootte die op basis van de vermelding /Size, waarvan de waarde kleiner is dan het eigenlijke nummer van het indirecte object, niet volstaat voor de data.	xina1i DoHyun Lee(@l33d0hyun) Milan Kyselica
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing vastliep bij het verwerken van bepaalde argumenten. Dit gebeurt als gevolg van de toegang tot ongeldig geheugen, waarbij de toepassing de toegang tot een matrix buiten de grenswaarden niet kan beperken bij het aanroepen van de functie util.scand (CVE-2021-38564).	Xinyu Wan, Yiwei Zhang en Wei You van de Renmin-universiteit in China
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan de kwetsbaarheid van uitvoering van externe code bij Use-after-Free en kon vastlopen wanneer bepaalde JavaScript- of annotatie-objecten werden verwerkt. Dit treedt op door het gebruik van of de toegang tot geheugen, aanwijzers of objecten die zijn vrijgemaakt zonder de vereiste validatie (CVE-2021-21831, CVE-2021-21870, CVE-2021-34831, CVE-2021-34832, CVE-2021-34847).	Aleksandar Nikolic van Cisco Talos Xu Peng van UCAS en Wang Yanhao van QiAnXin Technology Research Institute in samenwerking met het Trend Micro Zero Day Initiative ZhangJiaxing(@r0fm1a) van het Codesafe Team van Legendsec bij Qi'anxin Group in samenwerking met hetTrend Micro Zero Day Initiative
Een potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een kwetsbaarheid met betrekking tot het schrijven van een willekeurig bestand bij het uitvoeren van de functie submitForm. Hackers kunnen dit beveiligingsprobleem benutten om willekeurige bestanden in het lokale systeem te creëren en de niet-gecontroleerde inhoud te injecteren.	Hou JingYi (@hjy79425575)
Een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij het uitvoeren van externe programmeercode voor niet-toegewezen aanwijzers en vastliep bij het verwerken van objecten in bepaalde PDF-bestanden indien naar hetzelfde woordenboek voor aantekeningen wordt verwezen in de paginastructuren voor verschillende pagina's. Dit gebeurt als meerdere aantekeningsobjecten gekoppeld zijn aan hetzelfde woordenboek voor aantekeningen (CVE-2021-34852, CVE-2021-34834, CVE-2021-34835, CVE-2021-34851, CVE-2021-34836, CVE-2021-34837, CVE-2021-34838, CVE-2021-34839, CVE-2021-34840, CVE-2021-34841, CVE-2021-34833, CVE-2021-34842, CVE-2021-34843, CVE-2021-34844, CVE-2021-34845, CVE-2021-34853).	Xu Peng van UCAS en Wang Yanhao van QiAnXin Technology Research Institute in samenwerking met het Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers en vastliep tijdens het verwerken van bepaalde gebeurtenissen van formulierelementen. Dit gebeurt als gevolg van het gebruik van het object Veld dat is opgeschoond na het uitvoeren van gebeurtenissen met behulp van de eigenschap event.target (CVE-2021-21893).	Aleksandar Nikolic van Cisco Talos
Een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met stackoverloop, waardoor de toepassing vastliep tijdens het parseren van XML-data met te veel ingesloten knooppunten. Dit gebeurt wanneer het recursieniveau de maximumdiepte voor recursie overschrijdt tijdens het parseren van XML-knooppunten met behulp van recursie.	Milan Kyselica
Een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers, waardoor de toepassing vastliep tijdens het doorlopen van bladwijzerknooppunten in bepaalde PDF-bestanden. Dit gebeurt als gevolg van een stackoverloop als gevolg van de oneindige lus, omdat de toepassing de lusvoorwaarde niet op de juiste manier verwerkt (CVE-2021-34846).	ZhangJiaxing(@r0fm1a) van het Codesafe Team van Legendsec bij Qi'anxin Group in samenwerking met hetTrend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Reader 11.0.1 en Foxit PDF Editor 11.0.1

Releasedatum: 27 juli 2021

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Reader 11.0.1 en Foxit PDF Editor 11.0.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Reader (voorheen Foxit Reader)	11.0.0.49893 en eerder	Windows
Foxit PDF Editor (voorheen Foxit PhantomPDF)	11.0.0.49893, 10.1.4.37651 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

In Foxit PDF Reader of Foxit PDF Editor klikt u op 'Help' > 'Over Foxit PDF Reader' of 'Over Foxit PDF Editor' > 'Controleren op updates' (in versie 10 en ouder klikt u op 'Help' > 'Controleren op updates') om uw versie bij te werken naar de recentste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lees-/schrijfbewerkingen buiten de grenswaarden of een dereferentie van een null-aanwijzer, waardoor de toepassing vastliep tijdens het parseren van bepaalde PDF-bestanden. Dit gebeurt door de toegangsfout in het array-subscript bij het opslaan van de offset-waarde voor het indirecte object, omdat de arraygrootte die op basis van de vermelding /Size, waarvan de waarde kleiner is dan het eigenlijke nummer van het indirecte object, niet volstaat voor de data.	xina1i DoHyun Lee(@l33d0hyun) Milan Kyselica
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing vastliep bij het verwerken van bepaalde argumenten. Dit gebeurt als gevolg van de toegang tot ongeldig geheugen, waarbij de toepassing de toegang tot een matrix buiten de grenswaarden niet kan beperken bij het aanroepen van de functie util.scand (CVE-2021-38564).	Xinyu Wan, Yiwei Zhang en Wei You van de Renmin-universiteit in China
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan de kwetsbaarheid van uitvoering van externe code bij Use-after-Free en kon vastlopen wanneer bepaalde JavaScript- of annotatie-objecten werden verwerkt. Dit treedt op door het gebruik van of de toegang tot geheugen, aanwijzers of objecten die zijn vrijgemaakt zonder de vereiste validatie (CVE-2021-21831, CVE-2021-21870, CVE-2021-34831, CVE-2021-34832, CVE-2021-34847, CVE-2021-34850, CVE-2021-34849, CVE-2021-34848).	Aleksandar Nikolic van Cisco Talos Xu Peng van UCAS en Wang Yanhao van QiAnXin Technology Research Institute in samenwerking met het Trend Micro Zero Day Initiative ZhangJiaxing(@r0fm1a) van het Codesafe Team van Legendsec bij Qi'anxin Group in samenwerking met hetTrend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Een potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een kwetsbaarheid met betrekking tot het schrijven van een willekeurig bestand bij het uitvoeren van de functie submitForm. Hackers kunnen dit beveiligingsprobleem benutten om willekeurige bestanden in het lokale systeem te creëren en de niet-gecontroleerde inhoud te injecteren.	Hou JingYi (@hjy79425575)
Een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij het uitvoeren van externe programmeercode voor niet-toegewezen aanwijzers en vastliep bij het verwerken van objecten in bepaalde PDF-bestanden indien naar hetzelfde woordenboek voor aantekeningen wordt verwezen in de paginastructuren voor verschillende pagina's. Dit gebeurt als meerdere aantekeningsobjecten gekoppeld zijn aan hetzelfde woordenboek voor aantekeningen (CVE-2021-34852, CVE-2021-34834, CVE-2021-34835, CVE-2021-34851, CVE-2021-34836, CVE-2021-34837, CVE-2021-34838, CVE-2021-34839, CVE-2021-34840, CVE-2021-34841, CVE-2021-34833, CVE-2021-34842, CVE-2021-34843, CVE-2021-34844, CVE-2021-34845, CVE-2021-34853).	Xu Peng van UCAS en Wang Yanhao van QiAnXin Technology Research Institute in samenwerking met het Trend Micro Zero Day Initiative Mat Powell van het Trend Micro Zero Day Initiative
Een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers en vastliep tijdens het verwerken van bepaalde gebeurtenissen van formulierelementen. Dit gebeurt als gevolg van het gebruik van het object Veld dat is opgeschoond na het uitvoeren van gebeurtenissen met behulp van de eigenschap event.target (CVE-2021-21893).	Aleksandar Nikolic van Cisco Talos
Een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met stackoverloop, waardoor de toepassing vastliep tijdens het parseren van XML-data met te veel ingesloten knooppunten. Dit gebeurt wanneer het recursieniveau de maximumdiepte voor recursie overschrijdt tijdens het parseren van XML-knooppunten met behulp van recursie.	Milan Kyselica
Een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers, waardoor de toepassing vastliep tijdens het doorlopen van bladwijzerknooppunten in bepaalde PDF-bestanden. Dit gebeurt als gevolg van een stackoverloop als gevolg van de oneindige lus, omdat de toepassing de lusvoorwaarde niet op de juiste manier verwerkt (CVE-2021-34846).	ZhangJiaxing(@r0fm1a) van het Codesafe Team van Legendsec bij Qi'anxin Group in samenwerking met hetTrend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Editor voor Mac 11.0.1 en Foxit PDF Reader voor Mac 11.0.1

Releasedatum: 27 juli 2021

Platform: macOS

Overzicht

Foxit heeft Foxit PDF Editor voor Mac 11.0.1 en Foxit PDF Reader voor Mac 11.0.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Editor voor Mac (voorheen Foxit PhantomPDF Mac)	11.0.0.0510 en eerder	macOS
Foxit PDF Reader voor Mac (voorheen Foxit Reader Mac)	11.0.0.0510 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit PDF Editor voor Mac of Foxit PDF Reader voor Mac op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PDF Reader voor Mac van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PDF Editor voor Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een Denial of Service-aanval en crash door de referentie van een null-aanwijzer. Dit is het gevolg van geheugenbeschadiging door het gebrek aan een correcte validatie bij het verwerken van bepaalde PDF-bestanden waarvan de woordenboekvermeldingen ontbreken (CNVD-C-2021-95204).	China National Vulnerability Database
Mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij het uitvoeren van externe programmeercode voor niet-toegewezen aanwijzers, waardoor de toepassing kon vastlopen tijdens het uitvoeren van bepaalde JavaScripts. Dit treedt op door het gebruik van of de toegang tot geheugen of objecten die zijn vrijgemaakt zonder de vereiste validatie (CVE-2021-21831, CVE-2021-34832).	Aleksandar Nikolic van Cisco Talos Xu Peng van UCAS en Wang Yanhao van QiAnXin Technology Research Institute in samenwerking met het Trend Micro Zero Day Initiative
Een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers en vastliep tijdens het verwerken van bepaalde gebeurtenissen van formulierelementen. Dit gebeurt als gevolg van het gebruik van het object Veld dat is opgeschoond na het uitvoeren van gebeurtenissen met behulp van de eigenschap event.target (CVE-2021-21893).	Aleksandar Nikolic van Cisco Talos
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lees-/schrijfbewerkingen buiten de grenswaarden, waardoor de toepassing vastliep tijdens het parseren van bepaalde PDF-bestanden. Dit gebeurt door de toegangsfout in het array-subscript bij het opslaan van de offset-waarde voor het indirecte object, omdat de arraygrootte die op basis van de vermelding /Size, waarvan de waarde kleiner is dan het eigenlijke nummer van het indirecte object, niet volstaat voor de data.	Milan Kyselica
Een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers, waardoor de toepassing vastliep tijdens het doorlopen van bladwijzerknooppunten in bepaalde PDF-bestanden. Dit gebeurt als gevolg van een stackoverloop als gevolg van de oneindige lus, omdat de toepassing de lusvoorwaarde niet op de juiste manier verwerkt (CVE-2021-34846).	ZhangJiaxing(@r0fm1a) van het Codesafe Team van Legendsec bij Qi'anxin Group in samenwerking met hetTrend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader 10.1.4 en Foxit PhantomPDF 10.1.4

Releasedatum: 6 mei 2021

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 10.1.4 en Foxit PhantomPDF 10.1.4 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	10.1.3.37598 en eerder	Windows
Foxit PhantomPDF	10.1.3.37598 en alle eerdere 10.x-versies, 9.7.5.29616 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan geheugenbeschadiging en kon crashen bij het exporteren van bepaalde PDF-bestanden naar andere indelingen. Dit is het gevolg van een toegangsschending, waarvan aanvallers misbruik konden maken om externe code uit te voeren.	Ariele Caltabiano (kimiya)
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een Denial of Service-kwetsbaarheid en kon crashen wanneer bepaalde XFA-formulieren of koppelingsobjecten werden verwerkt. Dit wordt veroorzaakt door stack overflow als er te veel niveaus of dode lussen zijn tijdens de recursieve aanroep van functies (CNVD-C-2020-186243/CNVD-C-2020-186246/CNVD-C-2020-186244/CNVD-C-2020-186248/CNVD-C-2020-186237).	China National Vulnerability Database Xuwei Liu
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een Denial of Service-aanval, beveiligingsprobleem vanwege de referenties van null-aanwijzers, met leesbewerkingen buiten de grenswaarden, bij het omzeilen van het inhoudsniveau, met typeverwarring of met bufferoverloop, waardoor de toepassing kon crashen. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren. Dit treedt op bij de uitvoering van bepaalde functies in JavaScript door het gebruik van onjuiste parameters of objecten zonder de juiste validatie (CNVD-C-2020-305224/CNVD-C-2020-305182/CNVD-C-2020-305095/EIP-2018-0045/CNVD-C-2020-305100/CVE-2021-31461/CVE-2021-31476).	Xinyu Wan, Yiwei Zhang en Wei You van Renmin University of China China National Vulnerability Database mnhFly van Aurora Infinity WeiZhen Security Team Exodus Intelligence cor3sm4sh3r in samenwerking met Volon Cyber Security Pvt Ltd in samenwerking met het Trend Micro Zero Day Initiative Yongil Lee(@intellee) en Wonyoung Jung(@nonetype) van Diffense cece in samenwerking met Trend Micro Zero Day Initiative
Een potentieel probleem aangepakt waarbij de toepassing kon worden blootgesteld aan een Arbitrary File Deletion-kwetsbaarheid als gevolg van onjuiste toegangscontrole. Lokale aanvallers konden deze kwetsbaarheid misbruiken om een symbolische link te creëren en willekeurige bestanden te laten verwijderen zodra de applicatie werd verwijderd door een beheerder.	Dhiraj Mishra (@RandomDhiraj)
Mogelijk probleem verholpen waarbij de toepassing onjuiste handtekeninginformatie kon leveren voor bepaalde PDF-bestanden die onzichtbare digitale handtekeningen bevatten. Dit treedt op waar de toepassing de certificaatnamen in een verkeerde volgorde krijgt en de documenteigenaar per vergissing weergeeft als de ondertekenaar.	Thore Hendrikson
Mogelijke problemen aangepakt waarbij de toepassing kon worden blootgesteld aan de kwetsbaarheid van DLL Hijacking bij het opstarten, waarvan aanvallers misbruik konden maken om externe code uit te voeren door een kwaadaardige DLL in de opgegeven paddirectory te plaatsen. Dit treedt op als gevolg van onjuist gedrag bij het laden van bibliotheken, waaronder het laden van bibliotheken in de installatiemap als prioriteit bij het laden van systeembibliotheken, het laden van bibliotheken die vermomd zijn als systeembibliotheken in de installatiemap zonder de juiste validatie, en het niet gebruiken van volledig gekwalificeerde paden bij het laden van externe bibliotheken (CNVD-C-2021-68000/CNVD-C-2021-68502).	mnhFly van Aurora Infinity WeiZhen Security Team China National Vulnerability Database
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lees-/schrijfbewerkingen buiten de grenswaarden bij het uitvoeren van externe programmeercode of met informatieverspreiding en kon vastlopen wanneer bepaalde JavaScripts of XFA-formulieren werden verwerkt. Dit is het gevolg van het gebruik van abnormale gegevens die de maximumgrootte toegewezen in parameters overschreden, zonder de juiste validatie (CVE-2021-31452/CVE-2021-31473).	mnhFly van Aurora Infinity WeiZhen Security Team Yongil Lee(@intellee) en Wonyoung Jung(@nonetype) van Diffense Yongil Lee(@intellee) en Wonyoung Jung(@nonetype) van Diffense in samenwerking met het Trend Micro Zero Day Initiative Anonymous in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden bij het parseren van bepaalde PDF-bestanden die een niet-standaard /Size-sleutelwaarde bevatten in de Trailer dictionary. Dit is het gevolg van de toegang tot een array dat niet groot genoeg is om de gegevens te bevatten.	xina1i
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden en kon crashen bij het converteren van bepaalde PDF-bestanden naar Microsoft Office-bestanden. Dit gebeurt omdat de PDF-objectgegevens die in de kruisverwijzingstabel zijn gedefinieerd, beschadigd zijn.	Haboob Lab
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers, waardoor de toepassing crashte tijdens het verwerken van bepaalde XFA-formulieren of aantekeningsobjecten. Dit treedt op door het gebruik van of de toegang tot de objecten die zijn vrijgegeven of verwijderd (CVE-2021-31441/CVE-2021-31450/CVE-2021-31453/CVE-2021-31451/CVE-2021-31455/CVE-2021-31456/CVE-2021-31457/CVE-2021-31458/CVE-2021-31459/CVE-2021-31460/CVE-2021-21822).	Yongil Lee en Wonyoung Jung van Diffense Xu Peng van UCAS en Wang Yanhao van het QiAnXin Technology Research Institute in samenwerking met het Trend Micro Zero Day Initiative Yongil Lee(@intellee) en Wonyoung Jung(@nonetype) van Diffense in samenwerking met het Trend Micro Zero Day Initiative Aleksandar Nikolic van Cisco Talos
Potentiële problemen aangepakt waarbij de toepassing kon worden blootgesteld aan de kwetsbaarheid door uitvoering van externe code bij Arbitrary File Write bij het uitvoeren van bepaalde JavaScripts. Dit gebeurt omdat de toepassing er niet in slaagt het bestandstype te beperken en het bestandspad te valideren in de functies extractPages en CombineFiles (EIP-2018-0046/EIP-2019-0006/EIP-2019-0007).	Exodus Intelligence
Mogelijke problemen aangepakt waarbij de toepassing kon worden blootgesteld aan een kwetsbaarheid voor SQL-injectie, uitvoering van externe code. Aanvallers konden deze kwetsbaarheid uitbuiten met het doel om databases in te voegen of te verwijderen door codes in te voegen aan het einde van de strings (EIP-2018-0057/EIP-2018-0080/EIP-2018-0081).	Exodus Intelligence
Een potentieel probleem verholpen waarbij de toepassing kon worden blootgesteld aan de kwetsbaarheid van Uninitialized Variable Information Disclosure en kon crashen. Dit komt door schending van toegang tot de array als gevolg van de afwijkende informatie in het formulierbesturingselement wanneer gebruikers op de Tab-toets drukken om de focus op een veld te krijgen en nieuwe tekst in te voeren in bepaalde XFA-formulieren.	Yongil Lee en Wonyoung Jung van Diffense
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden of met de overloop van een op heap gebaseerde buffer en vastliep, waarvan aanvallers misbruik konden maken om externe code uit te voeren of vertrouwelijke informatie te onthullen. Dit komt door een logische fout of onjuiste behandeling van elementen bij het werken met bepaalde PDF-bestanden die een te grote waarde in het bestandsattribuut of een negatieve leadDigits-waarde in het bestandsattribuut hebben (CVE-2021-31454).	Yongil Lee en Wonyoung Jung van Diffense Yongil Lee(@intellee) en Wonyoung Jung(@nonetype) van Diffense in samenwerking met het Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in 3D Plugin Beta 10.1.4.37623

Releasedatum: 6 mei 2021

Platform: Windows

Overzicht

Foxit heeft 3D Plugin Beta 10.1.4.37623 uitgebracht voor Foxit Reader en PhantomPDF, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
3D Plugin Beta	10.1.3.37598 en alle eerdere 10.x-versies, 9.7.4.29600 en eerder	Windows

Oplossing

Update uw Foxit Reader of PhantomPDF naar versie 10.1 of hoger en installeer vervolgens de laatste versie van 3D Plugin Beta door een van de onderstaande methoden te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk 3D Plugin Beta bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van 3D Plugin Beta voor Foxit Reader of PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte

Met dank aan

Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lees-/schrijfbewerkingen buiten de grenswaarden, met niet-toegewezen aanwijzers of het twee keer vrijgeven van dezelfde aanwijzer en kon crashen als gebruikers de 3D Plugin Beta gebruikten. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren of vertrouwelijke informatie te onthullen. Dit komt door het ontbreken van de juiste validatie van onlogische gegevensreeksen bij het verwerken van bepaalde U3D-objecten die zijn ingesloten in PDF-bestanden (CVE-2021-31469/CVE-2021-31470/CVE-2021-31471/CVE-2021-31472/CVE-2021-31442/CVE-2021-31443/CVE-2021-31444/CVE-2021-31445/CVE-2021-31446/CVE-2021-31447/CVE-2021-31448/CVE-2021-31449/CVE-2021-31467/CVE-2021-31468/CVE-2021-31466/CVE-2021-31465/CVE-2021-31464/CVE-2021-31463/CVE-2021-31462).

Mat Powell van het Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF SDK voor Web 7.6.0

Releasedatum: 31 maart 2021

Platform: Web

Overzicht

Foxit heeft Foxit PDF SDK for Web 7.6.0 uitgebracht, waarmee potentiële beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF SDK for Web	7.5.0 en eerder	Web

Oplossing

Werk de Foxit PDF SDK for Web bij naar de nieuwste versie door hier te klikken om het laatste pakket van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Beveiligingsprobleem met scripting op meerdere sites opgelost waarbij het bericht JavaScript app.alert() als HTML-code werd gebruikt en geïnjecteerd in HTML DOM en vervolgens werd uitgevoerd.	Luigi Gubello

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader 10.1.3 en Foxit PhantomPDF 10.1.3

Releasedatum: 22 maart 2021

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 10.1.3 en Foxit PhantomPDF 10.1.3 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	10.1.1.37576 en eerder	Windows
Foxit PhantomPDF	10.1.1.37576 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden en kon crashen. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren. Dit komt door de onjuiste vrijgave van bronnen bij het parseren van bepaalde JPEG2000-bestanden (CVE-2021-27270).	cece in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdate in 3D Plugin Beta 10.1.3.37598

Releasedatum: 22 maart 2021

Platform: Windows

Overzicht

Foxit heeft 3D Plugin Beta 10.1.3.37598 uitgebracht voor Foxit Reader en PhantomPDF, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
3D Plugin Beta	10.1.1.37576 en eerder	Windows

Oplossing

Update uw Foxit Reader of PhantomPDF naar versie 10.1 of hoger en installeer vervolgens de laatste versie van 3D Plugin Beta door een van de onderstaande methoden te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk 3D Plugin Beta bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van 3D Plugin Beta voor Foxit Reader of PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden, met niet-toegewezen aanwijzers of geheugenbeschadiging en kon crashen als gebruikers de 3D Plugin Beta gebruikten. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren of vertrouwelijke informatie te onthullen. Dit treedt op bij bepaalde PDF-bestanden die 3D-objecten bevatten vanwege een parseerfout, omdat de gegevensindeling die in het PDF-bestand is vastgelegd, niet overeenkomt met de werkelijke indeling (CVE-2021-27261/CVE-2021-27262/CVE-2021-27263/CVE-2021-27264/CVE-2021-27265/CVE-2021-27266/CVE-2021-27267/CVE-2021-27268/CVE-2021-27271).	Mat Powell van Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden en kon crashen als gebruikers de 3D Plugin Beta gebruikten. Dit probleem had door aanvallers kunnen worden misbruikt om externe code uit te voeren. Dit treedt op bij het parseren van bepaalde PDF-bestanden die 3D-objecten bevatten, doordat het aantal KeyFrames dat is gedefinieerd in het blok MOTIONRESOURCE (0xffffff56) niet overeenkomt met het werkelijk geschreven aantal (CVE-2021-27269).	Mat Powell van Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

**Beschikbare beveiligingsupdates in Foxit PhantomPDF Mac 4.1.3 en Foxit Reader Mac 4.1.3**

Releasedatum: 2 februari 2021

Platform: macOS

Overzicht

Foxit heeft Foxit PhantomPDF Mac 4.1.3 en Foxit Reader Mac 4.1.3 uitgebracht, die mogelijke beveiligings- en stabiliteitsproblemen verhelpen.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF Mac	4.1.1.1123 en eerder	macOS
Foxit Reader Mac	4.1.1.1123 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit PhantomPDF Mac of Foxit Reader Mac op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader Mac van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Korte

Met dank aan

Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan 'evil annotation attack' en onjuiste validatieresultaten opleverde bij het valideren van bepaalde gecertificeerde PDF-bestanden, waarvan de zichtbare inhoud aanzienlijk was gewijzigd. Dit treedt op doordat de toepassing er niet in slaagt de objecten in de incrementele update te identificeren wanneer de invoer voor het Subtype van het aantekeningenwoordenboek is ingesteld op null.

Simon Rohlmann, Vladislav Mladenov, Christian Mainka, Jorg Schwenk

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

2020

Beschikbare beveiligingsupdates in Foxit PhantomPDF 9.7.5

Releasedatum: 30 december 2020

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 9.7.5 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	9.7.4.29600 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte tijdens het verwerken van bepaalde XFA-sjablonen. Dit treedt op tijdens het proces van het wijzigen van besturingsattributen en het toevoegen van knooppunten, doordat de toepassing er niet in slaagt om een bepaald type object te valideren en te gebruiken dat expliciet is geconverteerd vanuit een verkeerd opmaakobject dat door het toegevoegde sjabloonknooppunt is gemaakt (CVE-2020-27860).	Anonymous van Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan 'evil annotation attack' en onjuiste validatieresultaten opleverde bij het valideren van bepaalde gecertificeerde PDF-bestanden, waarvan de zichtbare inhoud aanzienlijk was gewijzigd. Dit treedt op doordat de toepassing er niet in slaagt de objecten in de incrementele update te identificeren wanneer de invoer voor het Subtype van het aantekeningenwoordenboek is ingesteld op null.	Simon Rohlmann, Vladislav Mladenov, Christian Mainka, Jorg Schwenk
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met geheugenbeschadiging door typeverwarring of met het uitvoeren van externe programmeercode, waardoor de toepassing kon crashen door het ontbreken van de juiste validatie wanneer een onjuist argument werd doorgegeven aan de functie app.media.openPlayer die was gedefinieerd in de PDF JavaScript-API (CVE-2020-13547).	Aleksandar Nikolic van Cisco Talos
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers, waardoor de toepassing crashte tijdens het uitvoeren van een bepaald JavaScript in een PDF-bestand. Dit treedt op door de toegang of het gebruik van aanwijzers of objecten die zijn verwijderd na het aanroepen van bepaalde JavaScript-functies (CVE-2020-13548/CVE-2020-13557/CVE-2020-13560/CVE-2020-13570).	Aleksandar Nikolic van Cisco Talos
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een Denial of Service-aanval en crashte bij het openen van bepaalde PDF-bestanden die een illegale waarde bevatten in de /Size-invoer van het Trail-woordenboek. Dit treedt op door het overlopen van de matrix, doordat de ongeldige waarde in de /Size-invoer een fout veroorzaakt bij het initialiseren van de matrixgrootte voor het opslaan van gecomprimeerde objectstromen. Hierdoor wordt voor de matrixgrootte een objectnummer gebruikt dat groter is dan de initialisatiewaarde tijdens het parseren van de kruisverwijzingsstromen (CVE-2020-28203).	Sanjeev Das (IBM Research)

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader 10.1.1 en Foxit PhantomPDF 10.1.1

Releasedatum: 9 december 2020

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 10.1.1 en Foxit PhantomPDF 10.1.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	10.1.0.37527 en eerder	Windows
Foxit PhantomPDF	10.1.0.37527 en alle eerdere 10.x-versies, 9.7.4.29600 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de recentste versie via een van de onderstaande methoden.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte tijdens het verwerken van bepaalde XFA-sjablonen. Dit treedt op tijdens het proces van het wijzigen van besturingsattributen en het toevoegen van knooppunten, doordat de toepassing er niet in slaagt om een bepaald type object te valideren en te gebruiken dat expliciet is geconverteerd vanuit een verkeerd opmaakobject dat door het toegevoegde sjabloonknooppunt is gemaakt (CVE-2020-27860).	Anonymous van Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan 'evil annotation attack' en onjuiste validatieresultaten opleverde bij het valideren van bepaalde gecertificeerde PDF-bestanden, waarvan de zichtbare inhoud aanzienlijk was gewijzigd. Dit treedt op doordat de toepassing er niet in slaagt de objecten in de incrementele update te identificeren wanneer de invoer voor het Subtype van het aantekeningenwoordenboek is ingesteld op null.	Simon Rohlmann, Vladislav Mladenov, Christian Mainka, Jorg Schwenk
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met geheugenbeschadiging door typeverwarring of met het uitvoeren van externe programmeercode, waardoor de toepassing kon crashen door het ontbreken van de juiste validatie wanneer een onjuist argument werd doorgegeven aan de functie app.media.openPlayer die was gedefinieerd in de PDF JavaScript-API (CVE-2020-13547).	Aleksandar Nikolic van Cisco Talos
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers, waardoor de toepassing crashte tijdens het uitvoeren van een bepaald JavaScript in een PDF-bestand. Dit treedt op door de toegang of het gebruik van aanwijzers of objecten die zijn verwijderd na het aanroepen van bepaalde JavaScript-functies (CVE-2020-13548/CVE-2020-13557/CVE-2020-13560/CVE-2020-13570).	Aleksandar Nikolic van Cisco Talos
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een Denial of Service-aanval en crashte bij het openen van bepaalde PDF-bestanden die een illegale waarde bevatten in de /Size-invoer van het Trail-woordenboek. Dit treedt op door het overlopen van de matrix, doordat de ongeldige waarde in de /Size-invoer een fout veroorzaakt bij het initialiseren van de matrixgrootte voor het opslaan van gecomprimeerde objectstromen. Hierdoor wordt voor de matrixgrootte een objectnummer gebruikt dat groter is dan de initialisatiewaarde tijdens het parseren van de kruisverwijzingsstromen (CVE-2020-28203).	Sanjeev Das (IBM Research)

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PhantomPDF 9.7.4

Releasedatum: 20 oktober, 2020

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 9.7.4 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	9.7.3.29555 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers en crashte tijdens het uitvoeren van JavaScript in bepaalde AcroForms. Dit treedt op door het gebruik van een Opt-object nadat dit is verwijderd door de aanroep van de Field::ClearItems-methode tijdens het uitvoeren van de Field::DeleteOptions-methode.	Hung Tien Tran @hungtt28
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een toegangsfout bij schrijf-/leesbewerkingen, waardoor de toepassing crashte. Dit treedt op door de uitzondering die wordt gegenereerd door de V8 JavaScript-engine, die het gevolg is van een onjuiste afhandeling van een situatie, waarin de Index die tijdens de toewijzing van lokale threadopslag door de TslAlloc-functie wordt geretourneerd, de aanvaardbare limieten van de V8 JavaScript-engine overschrijdt.	John Stigerwalt
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de toegang tot/het ongedaan maken van de referentie van null-aanwijzers, waardoor de toepassing crashte bij het openen van bepaalde speciaal vervaardigde PDF's. Dit treedt op door de toegang tot of referentie van de null-aanwijzer zonder de juiste validatie (CNVD-C-2020-169904/CNVD-C-2020-186241/CNVD-C-2020-186245).	John Stigerwalt Nafiez, Fakhrie en Yeh van TomatoDuck Fuzzing Group China National Vulnerability Database
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers, waardoor de toepassing crashte tijdens het parseren van bepaalde JPEG2000-afbeeldingen. Dit treedt op doordat de toepassing het geheugen onjuist vrijgeeft op basis van de geheugenblokgegevens (CVE-2020-17410).	Anonymous van Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden, waardoor de toepassing crashte. Dit treedt op tijdens het verwerken van arcering, omdat het aantal uitgangen dat door de functie is berekend, niet overeenkomt met het aantal kleurcomponenten in de kleurruimte van de map Arcering.	Nafiez, Fakhrie en Yeh van TomatoDuck Fuzzing Group
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden bij de uitvoering van externe programmeercode tijdens het parseren van bepaalde JPEG2000-afbeeldingen. Dit werd veroorzaakt door het onjuist lezen en schrijven van geheugen op een ongeldig adres (CVE-2020-17416).	Anonymous van Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing tijdens de installatie kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode. Dit treedt op doordat de toepassing niet het absolute pad gebruikt om het bestand taskkill.exe te zoeken, maar eerst het pad in de huidige werkmap zoekt en uitvoert.	Dhiraj Mishra (@RandomDhiraj)
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers bij het vrijgeven van informatie of met het uitvoeren van externe programmeercode, waardoor de toepassing crashte. Dit treedt op door het gebruik van het /V-item dat wordt verwijderd nadat het is geïnterpreteerd als de uitgevoerde actie tijdens de validatie wanneer het item zowel in de woordenboeken Additional Action als Field voorkomt, maar verschillende interpretaties heeft (CNVD-C-2020-169907).	China National Vulnerability Database
Een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een USF-beveiligingsprobleem (Universal Signature Forgery, universele vervalsing van handtekening) en onjuiste validatieresultaten kon opleveren bij het valideren van digitale handtekeningen in bepaalde PDF-bestanden. Dit gebeurt wanneer de toepassing de cryptografische validatie van handtekeningen niet correct uitvoert, wat door hackers kan worden benut om willekeurige handtekeningen op willekeurige bestanden te vervalsen en de validator te misleiden.	Matthias Valvekens

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdate in 3D Plugin Beta 9.7.4.29600

Releasedatum: 20 oktober, 2020

Platform: Windows

Overzicht

Foxit heeft 3D Plugin Beta 9.7.4.29600 uitgebracht voor PhantomPDF, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
3D Plugin Beta	9.7.3.29555 en eerder	Windows

Oplossing

Werk 3D Plugin Beta bij naar de nieuwste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk 3D Plugin Beta bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van 3D Plugin Beta voor Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte

Met dank aan

Heeft mogelijke problemen opgelost, waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lees-/schrijfbewerkingen buiten de grenswaarden of de overloop van een op een stack gebaseerde buffer wanneer gebruikers 3D Plugin Beta gebruikten. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren of gevoelige informatie vrij te geven. Dit treedt op door het ontbreken van de juiste validatie van gegevens bij het parseren van een bepaald U3D-object dat een onjuiste gegevensstroom bevat (CNVD-C-2020-73515/CNVD-C-2020-73509/CVE-2020-17411/CVE-2020-17412/CVE-2020-17413).

China National Vulnerability Database
Mat Powell van Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

**Beschikbare beveiligingsupdates in Foxit PhantomPDF Mac en Foxit Reader Mac 4.1**

Releasedatum: 9 oktober 2020

Platform: macOS

Overzicht

Foxit heeft versie 4.1 van Foxit PhantomPDF Mac en Foxit Reader Mac uitgebracht, die mogelijke beveiligings- en stabiliteitsproblemen verhelpt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF Mac	4.0.0.0430 en eerder	macOS
Foxit Reader Mac	4.0.0.0430 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit PhantomPDF Mac of Foxit Reader Mac op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader Mac van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het invoegen van programmeercode of het vrijgeven van informatie, doordat de beveiligde runtimeoptie niet werd ingeschakeld tijdens de handtekening bij programmacode.	Hou JingYi (@hjy79425575)

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader 10.1 en Foxit PhantomPDF 10.1

Releasedatum: 28 september 2020

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 10.1 en Foxit PhantomPDF 10.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	10.0.1.35811 en eerder	Windows
Foxit PhantomPDF	10.0.1.35811, 10.0.0.35798, 9.7.3.29555 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers en crashte tijdens het uitvoeren van JavaScript in bepaalde AcroForms. Dit treedt op door het gebruik van een Opt-object nadat dit is verwijderd door de aanroep van de Field::ClearItems-methode tijdens het uitvoeren van de Field::DeleteOptions-methode.	Hung Tien Tran @hungtt28
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een toegangsfout bij schrijf-/leesbewerkingen, waardoor de toepassing crashte. Dit treedt op door de uitzondering die wordt gegenereerd door de V8 JavaScript-engine, die het gevolg is van een onjuiste afhandeling van een situatie, waarin de Index die tijdens de toewijzing van lokale threadopslag door de TslAlloc-functie wordt geretourneerd, de aanvaardbare limieten van de V8 JavaScript-engine overschrijdt.	John Stigerwalt
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de toegang tot/het ongedaan maken van de referentie van null-aanwijzers, waardoor de toepassing crashte bij het openen van bepaalde speciaal vervaardigde PDF's. Dit treedt op door de toegang tot of referentie van de null-aanwijzer zonder de juiste validatie (CNVD-C-2020-169904/CNVD-C-2020-186241/CNVD-C-2020-186245).	John Stigerwalt Nafiez, Fakhrie en Yeh van TomatoDuck Fuzzing Group China National Vulnerability Database
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers, waardoor de toepassing crashte tijdens het parseren van bepaalde JPEG2000-afbeeldingen. Dit treedt op doordat de toepassing het geheugen onjuist vrijgeeft op basis van de geheugenblokgegevens (CVE-2020-17410).	Anonymous van Trend Micro Zero Day Initiative
Heeft mogelijke problemen opgelost, waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de escalatie van bevoegdheden door een onjuiste toewijzing van machtigingen. Dit probleem had door aanvallers kunnen worden misbruikt om een willekeurig programma uit te voeren. Dit treedt op door de onjuiste machtigingenset voor een bron die wordt gebruikt door de updateservice van Foxit (CVE-2020-17414/CVE-2020-17415).	@Kharosx0, in samenwerking met Trend Micro Zero Day Initiative Mat Powell van Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden, waardoor de toepassing crashte. Dit treedt op tijdens het verwerken van arcering, omdat het aantal uitgangen dat door de functie is berekend, niet overeenkomt met het aantal kleurcomponenten in de kleurruimte van de map Arcering.	Nafiez, Fakhrie en Yeh van TomatoDuck Fuzzing Group
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden bij de uitvoering van externe programmeercode tijdens het parseren van bepaalde JPEG2000-afbeeldingen. Dit werd veroorzaakt door het onjuist lezen en schrijven van geheugen op een ongeldig adres (CVE-2020-17416).	Anonymous van Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing tijdens de installatie kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode. Dit treedt op doordat de toepassing niet het absolute pad gebruikt om het bestand taskkill.exe te zoeken, maar eerst het pad in de huidige werkmap zoekt en uitvoert.	Dhiraj Mishra (@RandomDhiraj)
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers bij het vrijgeven van informatie of met het uitvoeren van externe programmeercode, waardoor de toepassing crashte. Dit treedt op door het gebruik van het /V-item dat wordt verwijderd nadat het is geïnterpreteerd als de uitgevoerde actie tijdens de validatie wanneer het item zowel in de woordenboeken Additional Action als Field voorkomt, maar verschillende interpretaties heeft (CNVD-C-2020-169907).	China National Vulnerability Database
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van leesbewerkingen buiten de grenswaarden bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte vanwege het ontbreken van de juiste validatie van de invoergegevens bij het activeren van de Doc.getNthFieldName-methode (CVE-2020-17417).	Anonymous van Trend Micro Zero Day Initiative
Een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een USF-beveiligingsprobleem (Universal Signature Forgery, universele vervalsing van handtekening) en onjuiste validatieresultaten kon opleveren bij het valideren van digitale handtekeningen in bepaalde PDF-bestanden. Dit gebeurt wanneer de toepassing de cryptografische validatie van handtekeningen niet correct uitvoert, wat door hackers kan worden benut om willekeurige handtekeningen op willekeurige bestanden te vervalsen en de validator te misleiden.	Matthias Valvekens

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdate in 3D Plugin Beta 10.1.0.37494

Releasedatum: 28 september 2020

Platform: Windows

Overzicht

Foxit heeft 3D Plugin Beta 10.1.0.37494 uitgebracht voor Foxit Reader en PhantomPDF, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
3D Plugin Beta	10.0.1.35811, 10.0.0.35737, 9.7.3.29555 en eerder	Windows

Oplossing

Werk uw Foxit Reader of PhantomPDF bij naar versie 10.1 en installeer vervolgens de nieuwste versie van 3D Plugin Beta door een van de onderstaande methoden te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk 3D Plugin Beta bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van 3D Plugin Beta voor Foxit Reader of PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte

Met dank aan

China National Vulnerability Database
Mat Powell van Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PhantomPDF 9.7.3

Releasedatum: 31 augustus 2020

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 9.7.3 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	9.7.2.29539 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een niet-geïnitialiseerd object bij het vrijgeven van informatie, waardoor de toepassing crashte. Dit treedt op doordat de toepassing zonder de juiste validatie bij het verifiëren van de informatie in een vervaardigd XObject, het PDF-object direct omzet in een PDF-stroom voor verdere acties (CVE-2020-11493).	Steven Seeley van Qihoo 360 Vulcan Team
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing crashte. Dit treedt op doordat de toepassing ten onrechte de index van de oorspronkelijke teksttekenreeks gebruikt voor het herkennen van koppelingen, nadat tijdens de opmaak van de teksttekenreeks de oorspronkelijke teksttekenreeks in twee stukken is verdeeld (CVE-2020-12247).	Steven Seeley van Qihoo 360 Vulcan Team
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers bij het vrijgeven van informatie, waardoor de toepassing crashte vanwege de toegang tot illegaal geheugen bij het laden van bepaalde webpagina's (CVE-2020-15637).	Mat Powell van Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de overloop van de heapbuffer bij het uitvoeren van externe programmeercode, waardoor de toepassing kon crashen. Dit treedt op doordat de toepassing geen mechanisme voor fouttolerantie uitvoert tijdens het verwerken van ongeldige gegevens in de installatiekopiebronnen (CVE-2020-12248).	Steven Seeley van Qihoo 360 Vulcan Team
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte vanwege de toegang tot een matrix waarvan de lengte groter was dan de oorspronkelijke lengte (CVE-2020-15638).	Rene Freingruber (@ReneFreingruber) en Patrick Wollgast, in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader 10.0.1 en Foxit PhantomPDF 10.0.1

Releasedatum: 31 juli 2020

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 10.0.1 en Foxit PhantomPDF 10.0.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	10.0.0.35798 en eerder	Windows
Foxit PhantomPDF	10.0.0.35798, 9.7.2.29539 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een niet-geïnitialiseerd object bij het vrijgeven van informatie, waardoor de toepassing crashte. Dit treedt op doordat de toepassing zonder de juiste validatie bij het verifiëren van de informatie in een vervaardigd XObject, het PDF-object direct omzet in een PDF-stroom voor verdere acties (CVE-2020-11493).	Steven Seeley van Qihoo 360 Vulcan Team
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing crashte. Dit treedt op doordat de toepassing ten onrechte de index van de oorspronkelijke teksttekenreeks gebruikt voor het herkennen van koppelingen, nadat tijdens de opmaak van de teksttekenreeks de oorspronkelijke teksttekenreeks in twee stukken is verdeeld (CVE-2020-12247).	Steven Seeley van Qihoo 360 Vulcan Team
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers bij het vrijgeven van informatie, waardoor de toepassing crashte vanwege de toegang tot illegaal geheugen bij het laden van bepaalde webpagina's (CVE-2020-15637).	Mat Powell van Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de overloop van de heapbuffer bij het uitvoeren van externe programmeercode, waardoor de toepassing kon crashen. Dit treedt op doordat de toepassing geen mechanisme voor fouttolerantie uitvoert tijdens het verwerken van ongeldige gegevens in de installatiekopiebronnen (CVE-2020-12248).	Steven Seeley van Qihoo 360 Vulcan Team
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte vanwege de toegang tot een matrix waarvan de lengte groter was dan de oorspronkelijke lengte (CVE-2020-15638).	Rene Freingruber (@ReneFreingruber) en Patrick Wollgast, in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

**Beschikbare beveiligingsupdate in Foxit PhantomPDF Mac en Foxit Reader Mac 4.0**

Releasedatum: 6 mei 2020

Platform: macOS

Overzicht

Foxit heeft versie 4.0 van Foxit PhantomPDF Mac en Foxit Reader Mac uitgebracht, die mogelijke beveiligings- en stabiliteitsproblemen verhelpt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF Mac	3.4.0.1012 en eerder	macOS
Foxit Reader Mac	3.4.0.1012 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit PhantomPDF Mac of Foxit Reader Mac op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader Mac van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het omzeilen van de handtekeningvalidatie en een onjuist validatieresultaat kon opleveren bij het valideren van een bepaald PDF-bestand dat kwaadwillig was gewijzigd of niet-standaard handtekeningen bevatte (CVE-2020-9592/CVE-2020-9596).	Christian Mainka, Vladislav Mladenov, Simon Rohlmann, Jorg Schwenk

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader 9.7.2 en Foxit PhantomPDF 9.7.2

Releasedatum: 16 april 2020

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 9.7.2 en Foxit PhantomPDF 9.7.2 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	9.7.1.29511 en eerder	Windows
Foxit PhantomPDF	9.7.1.29511 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring of schrijfbewerkingen van willekeurige bestanden bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte. Dit treedt op tijdens het verwerken van app.opencPDFWebPage-JavaScript vanwege het ontbreken van de juiste validatie van parameters in het socketbericht (ZDI-CAN-9828/ZDI-CAN-9829/ZDI-CAN-9830/ZDI-CAN-9831/ZDI-CAN-9865/ZDI-CAN-9942/ZDI-CAN-9943/ZDI-CAN-9944/ZDI-CAN-9945/ZDI-CAN-9946)	Anonymous in samenwerking met Trend Micro Zero Day Initiative Mat Powell van Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het vrijgeven van informatie wanneer gebruikers de plug-in DocuSign gebruikten. Dit treedt op doordat de gebruikersnaam en het wachtwoord tijdens een HTTP-verzoek worden vastgelegd in de DocuSign-plug-in.	David Cook
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsaanval doordat de CAS-service het aantal mislukte aanmeldpogingen van gebruikers niet beperkte.	Hassan Personal
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte tijdens het verwerken van bepaalde XFA-sjablonen of AcroForm vanwege het gebruik van niet-toegewezen objecten (ZDI-CAN-10132/ZDI-CAN-10142/ZDI-CAN-10614/ZDI-CAN-10650).	hungtt28 van Viettel Cyber Security, in samenwerking met Trend Micro Zero Day Initiative Anonymous, in samenwerking met Trend Micro Zero Day Initiative Peter Nguyen Vu Hoang van STAR Labs, in samenwerking met Trend Micro Zero Day Initiative Hung Tien Tran @hungtt28
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte tijdens het bewerken van bepaalde kwaadaardige PDF-bestanden. Dit treedt op doordat de toepassing tijdens het openen van een document zonder de juiste validatie JavaScript blijft uitvoeren, nadat de pagina is verwijderd of het document is gesloten.	J. Müller, D. Noss, C. Mainka, V. Mladenov, J. Schwenk
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met kringverwijzingen, waardoor de toepassing oneindig vast kwam te zitten bij het bewerken van bepaalde PDF-bestanden. Dit treedt op door het ontbreken van een verificatiemechanisme voor kringverwijzingen tijdens het verwerken van acties die kringverwijzingen bevatten.	J. Müller, D. Noss, C. Mainka, V. Mladenov, J. Schwenk
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een oneindige lus of onvoldoende geheugen, waardoor de toepassing crashte tijdens het parseren van bepaalde PDF-bestanden die onregelmatige gegevens in de kruisverwijzingsstroom of lange tekenreeksen in de inhoudsstroom bevatten.	J. Müller, D. Noss, C. Mainka, V. Mladenov, J. Schwenk
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het omzeilen van de handtekeningvalidatie en een onjuist validatieresultaat kon opleveren bij het valideren van een bepaald PDF-bestand dat kwaadwillig was gewijzigd of niet-standaard handtekeningen bevatte (CVE-2020-9592/CVE-2020-9596).	Christian Mainka, Vladislav Mladenov, Simon Rohlmann, Jorg Schwenk

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdate in 3D Plugin Beta 9.7.2.29539

Releasedatum: 16 april 2020

Platform: Windows

Overzicht

Foxit heeft 3D Plugin Beta 9.7.2.29539 uitgebracht voor Foxit Reader en PhantomPDF, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
3D Plugin Beta	9.7.1.29511 en eerder	Windows

Oplossing

Werk 3D Plugin Beta bij naar de nieuwste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk 3D Plugin Beta bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van 3D Plugin Beta voor Foxit Reader of PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte

Met dank aan

Heeft mogelijke problemen opgelost, waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lees-/schrijfbewerkingen buiten de grenswaarden of met de overloop van een op een heap gebaseerde buffer wanneer gebruikers 3D Plugin Beta gebruikten. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren of gevoelige informatie vrij te geven. Dit treedt op door het ontbreken van de juiste gegevensvalidatie bij het parseren van een bepaald bestand met onjuiste 3D-aantekeninggegevens (ZDI-CAN-10189/ZDI-CAN-10190/ZDI-CAN-10191/ZDI-CAN-10192/ZDI-CAN-10193/ZDI-CAN-10195/ZDI-CAN-10461/ZDI-CAN-10462/ZDI-CAN-10463/ZDI-CAN-10464/ZDI-CAN-10568).

Mat Powell van Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader 9.7.1 en Foxit PhantomPDF 9.7.1

Releasedatum: 16 januari, 2020

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 9.7.1 en Foxit PhantomPDF 9.7.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	9.7.0.29478 en eerder	Windows
Foxit PhantomPDF	9.7.0.29455 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de overloop bij gehele getallen, met lees-/schrijfbewerkingen buiten de grenswaarden bij het uitvoeren van externe programmeercode of met betrekking tot het vrijgeven van informatie, waardoor de toepassing crashte tijdens het parseren van bepaalde JPEG-/JPG2000-afbeeldingen of JP2-stromen in PDF-bestanden. Dit wordt veroorzaakt door een fout of een overloop van de geheugentoewijzing, wat resulteert in een toegangsfout van het geheugen (ZDI-CAN-9102/ZDI-CAN-9606/ZDI-CAN-9407/ZDI-CAN-9413/ZDI-CAN-9414/ZDI-CAN-9415/ZDI-CAN-9406/ZDI-CAN-9416).	Natnael Samson (@NattiSamson), in samenwerking met Trend Micro Zero Day Initiative Mat Powell van Trend Micro Zero Day Initiative A3F2160DCA1BDE70DA1D99ED267D5DC1EC336192, in samenwerking met Trend Micro Zero Anonymous, in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers bij het uitvoeren van externe programmeercode tijdens het verwerken van watermerken, AcroForm-objecten, tekst- of JavaScript-veldobjecten in PDF-bestanden vanwege het gebruik van objecten nadat deze zonder de juiste validatie zijn vrijgegeven (ZDI-CAN-9358/ZDI-CAN-9640/ZDI-CAN-9400/CVE-2019-5126/CVE-2019-5131/CVE-2019-5130/CVE-2019-5145/ZDI-CAN-9862).	mrpowell van Trend Micro Zero Day Initiative Mat Powell van Trend Micro Zero Day Initiative Aleksandar Nikolic van Cisco Talos hungtt28, in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden of met niet-toegewezen aanwijzers bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte tijdens het converteren van HTML-bestanden naar PDF's vanwege een toegangsfout van het geheugen tijdens het laden en renderen van webpagina's (ZDI-CAN-9591/ZDI-CAN-9560).	rgod van 9sg, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers vanwege het gebruik van een niet-geïnitialiseerde aanwijzer zonder de juiste validatie, wanneer bepaalde documenten werden verwerkt waarvan het woordenboek ontbrak.	rwxcode van nsfocus security team
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met stackoverloop, waardoor de toepassing crashte vanwege een herhaalde indirecte objectreferentie.	Michael Heinzl

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

2019

Beschikbare beveiligingsupdates in Foxit PhantomPDF 8.3.12

Releasedatum: 5 november 2019

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 8.3.12 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	8.3.11.45106 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte vanwege een onverwachte fout of onvoldoende geheugen in de V8-engine bij het uitvoeren van bepaald JavaScript (CVE-2019-5031/CVE-2019-13123/CVE-2019-13124/ZDI-CAN-8692).	Aleksandar Nikolic van Cisco Talos Roderick Schaefer (kciredor) RockStar, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers bij het uitvoeren van externe programmeercode wanneer een veld met geneste scripts werd verwijderd (ZDI-CAN-8864/ZDI-CAN-8888/ZDI-CAN-8913/ZDI-CAN-9044/ZDI-CAN-9081).	Anonymous, in samenwerking met Trend Micro Zero Day Initiative RockStar, in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte bij het parseren van TIFF-bestanden doordat de toepassing de decoderingsgegevens voor afbeeldingen niet juist kon instellen (ZDI-CAN-8695/ZDI-CAN-8742).	Zak Rogness, in samenwerking met Trend Micro Zero Day Initiative Natnael Samson (@NattiSamson), in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het uitvoeren van externe programmeercode, wanneer JPG-bestanden in PDF's werden geconverteerd vanwege een toegangsfout van de matrix (ZDI-CAN-8838).	Natnael Samson (@NattiSamson), in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een Denial of Service-aanval, waardoor de toepassing crashte vanwege het ongedaan maken van de referentie van null-aanwijzers.	ADLab van Venustech
Heeft mogelijke problemen verholpen waarbij de toepassing kon crashen tijdens het parseren van bepaalde bestanden. Dit treedt op doordat de toepassing voor elke pagina op toepassingsniveau gegevens aanmaakt, waardoor het maximum van het toepassingsgeheugen wordt bereikt.	ADLab van Venustech
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met stackuitputting, waardoor de toepassing crashte vanwege de geneste aanroep van functies tijdens het parseren van XML-bestanden.	ADLab van Venustech
Heeft mogelijke problemen verholpen waarbij de toepassing kon crashen bij het parseren van bepaalde bestandsgegevens vanwege de toegang tot de null-aanwijzer zonder de juiste validatie.	ADLab van Venustech
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte vanwege de toegang tot objecten die waren verwijderd of vrijgegeven (ZDI-CAN-9091/ZDI-CAN-9149).	RockStar, in samenwerking met Trend Micro Zero Day Initiative Anonymous, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem vanwege een toegangsfout, waardoor de toepassing crashte als deze werd gestart op voorwaarde dat er onvoldoende geheugen in het huidige systeem was (CVE-2019-17183).	K.K.Senthil Velan van Zacco Cybersecurity Research Labs

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader 9.7 en Foxit PhantomPDF 9.7

Releasedatum: 16 oktober 2019 (Foxit PhantomPDF 9.7) / 29 september 2019 (Foxit Reader 9.7)

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 9.7 en Foxit PhantomPDF 9.7 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	9.6.0.25114 en eerder	Windows
Foxit PhantomPDF	9.6.0.25114 en alle eerdere 9.x-versies, 8.3.11.45106 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte vanwege een onverwachte fout of onvoldoende geheugen in de V8-engine bij het uitvoeren van bepaald JavaScript (CVE-2019-5031/CVE-2019-13123/CVE-2019-13124/ZDI-CAN-8692).	Aleksandar Nikolic van Cisco Talos Roderick Schaefer (kciredor) RockStar, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers bij het uitvoeren van externe programmeercode wanneer een veld met geneste scripts werd verwijderd (ZDI-CAN-8864/ZDI-CAN-8888/ZDI-CAN-8913/ZDI-CAN-9044/ZDI-CAN-9081).	Anonymous, in samenwerking met Trend Micro Zero Day Initiative RockStar, in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte bij het parseren van TIFF-bestanden doordat de toepassing de decoderingsgegevens voor afbeeldingen niet juist kon instellen (ZDI-CAN-8695/ZDI-CAN-8742).	Zak Rogness, in samenwerking met Trend Micro Zero Day Initiative Natnael Samson (@NattiSamson), in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het uitvoeren van externe programmeercode, wanneer JPG-bestanden in PDF's werden geconverteerd vanwege een toegangsfout van de matrix (ZDI-CAN-8838).	Natnael Samson (@NattiSamson), in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een Denial of Service-aanval, waardoor de toepassing crashte vanwege het ongedaan maken van de referentie van null-aanwijzers.	ADLab van Venustech
Heeft mogelijke problemen verholpen waarbij de toepassing kon crashen tijdens het parseren van bepaalde bestanden. Dit treedt op doordat de toepassing voor elke pagina op toepassingsniveau gegevens aanmaakt, waardoor het maximum van het toepassingsgeheugen wordt bereikt.	ADLab van Venustech
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met stackuitputting, waardoor de toepassing crashte vanwege de geneste aanroep van functies tijdens het parseren van XML-bestanden.	ADLab van Venustech
Heeft mogelijke problemen verholpen waarbij de toepassing kon crashen bij het parseren van bepaalde bestandsgegevens vanwege de toegang tot de null-aanwijzer zonder de juiste validatie.	ADLab van Venustech
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte vanwege de toegang tot objecten die waren verwijderd of vrijgegeven (ZDI-CAN-9091/ZDI-CAN-9149).	RockStar, in samenwerking met Trend Micro Zero Day Initiative Anonymous, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem vanwege een toegangsfout, waardoor de toepassing crashte als deze werd gestart op voorwaarde dat er onvoldoende geheugen in het huidige systeem was (CVE-2019-17183).	K.K.Senthil Velan van Zacco Cybersecurity Research Labs

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

**Beschikbare beveiligingsupdate in Foxit PhantomPDF Mac 3.4**

Releasedatum: 15 oktober 2019

Platform: macOS

Overzicht

Foxit heeft Foxit PhantomPDF Mac 3.4 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF Mac	3.3.0.0709 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit PhantomPDF Mac op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een Denial of Service-aanval en crashte vanwege het ongedaan maken van de referentie van de null-aanwijzer.	Wenchao Li van VARAS@IIE

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdate in 3D Plugin Beta 9.7.0.29430

Releasedatum: 29 september 2019

Platform: Windows

Overzicht

Foxit heeft 3D Plugin Beta 9.7.0.29430 uitgebracht voor Foxit Reader en PhantomPDF, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
3D Plugin Beta	9.6.0.25108 en eerder	Windows

Oplossing

Werk 3D Plugin Beta bij naar de nieuwste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk 3D Plugin Beta bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van 3D Plugin Beta voor Foxit Reader of PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte

Met dank aan

Heeft mogelijke problemen opgelost, waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lees-/schrijfbewerkingen buiten de grenswaarden of met het ongedaan maken van de referentie van null-aanwijzers wanneer gebruikers 3D Plugin Beta gebruikten. Dit treedt op door het ontbreken van de juiste validatie van onjuiste afbeeldingsgegevens bij het parseren van bepaalde bestanden met onjuiste afbeeldingsinformatie.

ADLab van Venustech

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdate in het upgradepakket voor Foxit Reader (EXE-pakket) 9.6

Releasedatum: 15 augustus 2019

Platform: Windows

Overzicht

Foxit heeft het upgradepakket voor Foxit Reader (EXE-pakket) 9.6 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden verholpen.

Betrokken versies

Product	Betrokken versies	Platform
Upgradepakket voor Foxit Reader (EXE-pakket)	9.6.0.25114	Windows

Oplossing

Gebruikers die Foxit Reader na 15 augustus 2019 naar de nieuwste versie bijwerken, worden niet beïnvloed. Als u de Veilige leesmodus hebt ingeschakeld in een oudere versie en Foxit Reader vóór 15 augustus 2019 hebt bijgewerkt naar versie 9.6.0.25114, ga dan naar Bestand > Voorkeuren > Trust Manager om, indien nodig, de Veilige leesmodus in te schakelen.

Kwetsbaarheidsdetails

Korte

Met dank aan

Heeft een mogelijk probleem verholpen waarbij de Veilige leesmodus kon worden uitgeschakeld wanneer gebruikers Foxit Reader vanuit de toepassing bijwerkten. Dit beveiligingsprobleem kon door aanvallers worden misbruikt om een ongeoorloofde actie of gegevensoverdracht uit te voeren. Dit probleem treedt op doordat de registerconfiguratie wordt verwijderd en tijdens het bijwerken niet wordt toegepast.

Haifei Li van McAfee

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PhantomPDF 8.3.11

Releasedatum: 19 juli 2019

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 8.3.11 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	8.3.10.42705 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon crashen bij het aanroepen van het XFA-JavaScript xfa.event.rest vanwege de toegang tot een wilde aanwijzer.	Hui Gao van Palo Alto Networks
Heeft mogelijke problemen verholpen waarbij de toepassing kon crashen bij het aanroepen van een bepaald XFA-JavaScript vanwege het gebruik van of de toegang tot een null-aanwijzer zonder de juiste validatie van het object.	Hui Gao van Palo Alto Networks Qi Deng, Taojie Wang, Zhaoyan Xu, Vijay Prakash, Hui Gao van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon crashen vanwege een toegangsfout van de matrix tijdens de XFA-indeling. Dit treedt op doordat het oorspronkelijke knooppuntobject een contentArea-object meer bevat dan de XFA-indeling, waardoor de matrixgrootte tijdens de doorkruising wordt overschreden.	Hui Gao van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij het uitvoeren van externe programmeercode voor niet-toegewezen aanwijzers tijdens de verwerking van AcroForms. Dit treedt op doordat een extra gebeurtenis wordt geactiveerd om het ListBox- en ComboBox-veld te verwijderen als de items uit het ListBox- en ComboBox-veld worden verwijderd door het aanroepen van de deleteItemAt-methode (ZDI-CAN-8295).	Anonymous van Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem vanwege het overlopen van de stackbuffer, waardoor de toepassing crashte. Dit treedt op doordat de maximale lengte in de For-lus niet overeenkomstig wordt bijgewerkt wanneer alle veld-AP's worden bijgewerkt na het uitvoeren van veldgerelateerde JavaScript.	xen1thLabs
Heeft een mogelijk probleem verholpen waarbij de toepassing kon crashen als gevolg van de herhaalde vrijgave van het handtekeningwoordenboek tijdens de vernietiging van CSG_SignatureF en CPDF_Document.	Qi Deng, Taojie Wang, Zhaoyan Xu, Vijay Prakash, Hui Gao van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon crashen door het ontbreken van de juiste validatie van het bestaan van een object, voordat op het object bewerkingen werden uitgevoerd tijdens het uitvoeren van JavaScript.	Hui Gao van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij het uitvoeren van externe programmeercode voor niet-toegewezen aanwijzers. Dit treedt op doordat het Field-object wordt verwijderd tijdens het berekenen van parameters wanneer bepaalde attributen in het Field-object worden ingesteld met JavaScript (ZDI-CAN-8491/ZDI-CAN-8801/ZDI-CAN-8656/ZDI-CAN-8757/ZDI-CAN-8759/ZDI-CAN-8814).	banananapenguin, in samenwerking met Trend Micro Zero Day Initiative Mat Powell van Trend Micro Zero Day Initiative Anonymous, in samenwerking met Trend Micro Zero Day Initiative RockStar, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon crashen tijdens het aanroepen van de kloonfunctie vanwege de eindeloze lus die werd veroorzaakt door een toevoegfout, waardoor de relaties tussen het onderliggende en bovenliggende object werden verward.	Qi Deng, Taojie Wang, Zhaoyan Xu, Vijay Prakash, Hui Gao van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem vanwege het ongedaan maken van referenties van null-aanwijzers, waardoor de toepassing crashte tijdens het parseren van bepaalde EPUB-bestanden. Dit treedt op doordat een lege tekenreeks wordt geschreven naar FXSYS_wcslen, waar lege tekenreeksen niet worden ondersteund.	ADLab van Venustech
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij het uitvoeren van externe programmeercode voor niet-toegewezen aanwijzers, waardoor de toepassing crashte door het gebruik van Field-objecten of Field-besturing, nadat deze waren verwijderd of vrijgegeven (ZDI-CAN-8669).	Xinru Chi of Pangu Lab huyna van Viettel Cyber Security, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met betrekking tot het vrijgeven van informatie bij het aanroepen van het JavaScript util.printf, aangezien het werkelijke geheugenadres van elke in Javascript beschikbare variabele kan worden geëxtraheerd (ZDI-CAN-8544).	banananapenguin, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden wanneer gebruikers de toepassing in Internet Explorer gebruikten, omdat het invoerargument de lengte van de matrix overschreed.	@j00sean

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

**Beschikbare beveiligingsupdates in Foxit PhantomPDF Mac 3.3 en Foxit Reader Mac 3.3**

Releasedatum: 15 juli 2019

Platform: macOS

Overzicht

Foxit heeft Foxit PhantomPDF Mac 3.3 en Foxit Reader Mac 3.3 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF Mac	3.2.0.0404 en eerder	macOS
Foxit Reader Mac	3.2.0.0404 en eerder	macOS

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit PhantomPDF Mac of Foxit Reader Mac op 'Nu controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader Mac van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met betrekking tot het ongedaan maken van referenties van null-aanwijzers, waardoor de toepassing crashte vanwege het gebruik van een null-aanwijzer zonder de juiste validatie.	Xinru Chi van Pangu Lab Wenchao Li van VARAS@IIE
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met betrekking tot stackoverloop vanwege de onderlinge verwijzing tussen op ICC gebaseerde kleurruimte en alternatieve kleurruimte.	Xinru Chi van Pangu Lab

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader 9.6 en Foxit PhantomPDF 9.6

Releasedatum: 4 juli 2019

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 9.6 en Foxit PhantomPDF 9.6 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	9.5.0.20723 en eerder	Windows
Foxit PhantomPDF	9.5.0.20723 en alle eerdere 9.x-versies, 8.3.10.42705 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon crashen bij het aanroepen van het XFA-JavaScript xfa.event.rest vanwege de toegang tot een wilde aanwijzer.	Hui Gao van Palo Alto Networks
Heeft mogelijke problemen verholpen waarbij de toepassing kon crashen bij het aanroepen van een bepaald XFA-JavaScript vanwege het gebruik van of de toegang tot een null-aanwijzer zonder de juiste validatie van het object.	Hui Gao van Palo Alto Networks Qi Deng, Taojie Wang, Zhaoyan Xu, Vijay Prakash, Hui Gao van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon crashen vanwege een toegangsfout van de matrix tijdens de XFA-indeling. Dit treedt op doordat het oorspronkelijke knooppuntobject een contentArea-object meer bevat dan de XFA-indeling, waardoor de matrixgrootte tijdens de doorkruising wordt overschreden.	Hui Gao van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij het uitvoeren van externe programmeercode voor niet-toegewezen aanwijzers tijdens de verwerking van AcroForms. Dit treedt op doordat een extra gebeurtenis wordt geactiveerd om het ListBox- en ComboBox-veld te verwijderen als de items uit het ListBox- en ComboBox-veld worden verwijderd door het aanroepen van de deleteItemAt-methode (ZDI-CAN-8295).	Anonymous van Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem vanwege het overlopen van de stackbuffer, waardoor de toepassing crashte. Dit treedt op doordat de maximale lengte in de For-lus niet overeenkomstig wordt bijgewerkt wanneer alle veld-AP's worden bijgewerkt na het uitvoeren van veldgerelateerde JavaScript.	xen1thLabs
Heeft een mogelijk probleem verholpen waarbij de toepassing kon crashen als gevolg van de herhaalde vrijgave van het handtekeningwoordenboek tijdens de vernietiging van CSG_SignatureF en CPDF_Document.	Qi Deng, Taojie Wang, Zhaoyan Xu, Vijay Prakash, Hui Gao van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon crashen door het ontbreken van de juiste validatie van het bestaan van een object, voordat op het object bewerkingen werden uitgevoerd tijdens het uitvoeren van JavaScript.	Hui Gao van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij het uitvoeren van externe programmeercode voor niet-toegewezen aanwijzers. Dit treedt op doordat het Field-object wordt verwijderd tijdens het berekenen van parameters wanneer bepaalde attributen in het Field-object worden ingesteld met JavaScript (ZDI-CAN-8491/ZDI-CAN-8801/ZDI-CAN-8656/ZDI-CAN-8757/ZDI-CAN-8759/ZDI-CAN-8814).	banananapenguin, in samenwerking met Trend Micro Zero Day Initiative Mat Powell van Trend Micro Zero Day Initiative Anonymous, in samenwerking met Trend Micro Zero Day Initiative RockStar, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon crashen tijdens het aanroepen van de kloonfunctie vanwege de eindeloze lus die werd veroorzaakt door een toevoegfout, waardoor de relaties tussen het onderliggende en bovenliggende object werden verward.	Qi Deng, Taojie Wang, Zhaoyan Xu, Vijay Prakash, Hui Gao van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem vanwege het ongedaan maken van referenties van null-aanwijzers, waardoor de toepassing crashte tijdens het parseren van bepaalde EPUB-bestanden. Dit treedt op doordat een lege tekenreeks wordt geschreven naar FXSYS_wcslen, waar lege tekenreeksen niet worden ondersteund.	ADLab van Venustech
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij het uitvoeren van externe programmeercode voor niet-toegewezen aanwijzers, waardoor de toepassing crashte door het gebruik van Field-objecten of Field-besturing, nadat deze waren verwijderd of vrijgegeven (ZDI-CAN-8669).	Xinru Chi of Pangu Lab huyna van Viettel Cyber Security, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met betrekking tot het vrijgeven van informatie bij het aanroepen van het JavaScript util.printf, aangezien het werkelijke geheugenadres van elke in Javascript beschikbare variabele kan worden geëxtraheerd (ZDI-CAN-8544).	banananapenguin, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden wanneer gebruikers de toepassing in Internet Explorer gebruikten, omdat het invoerargument de lengte van de matrix overschreed.	@j00sean

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdate in 3D Plugin Beta 9.5.0.20733

Releasedatum: 28 mei 2019

Platform: Windows

Overzicht

Foxit heeft 3D Plugin Beta 9.5.0.20733 uitgebracht voor Foxit Reader en PhantomPDF, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
3D Plugin Beta	9.5.0.20723 en eerder	Windows

Oplossing

Werk 3D Plugin Beta bij naar de nieuwste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk 3D Plugin Beta bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van 3D Plugin Beta voor Foxit Reader of PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen opgelost waarbij de toepassing kon crashen wanneer gebruikers 3D Plugin Beta gebruikten. Dit treedt op door het ontbreken van de juiste validatie van ongeldige gegevens bij het parseren en renderen van bepaalde bestanden met verloren of beschadigde gegevens (CNVD-C-2019-41438).	Wei Lei van STAR Labs ADLab of Venustech China National Vulnerability Database (CNVD)

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PhantomPDF 8.3.10

Releasedatum: 18 april 2019

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 8.3.10 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	8.3.9.41099 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen opgelost, waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem omtrent de racevoorwaarde bij het aanroepen van proxyCPDFAction, proxyCheckLicence, proxyDoAction, proxyGetAppEdition of proxyPreviewAction met een groot geheel getal of een lange tekenreeks, waardoor een overloop van de stackbuffer of een leesbewerking buiten de grenswaarden werd geactiveerd. Aanvallers kunnen dit beveiligingsproblemen gebruiken om willekeurige programmeercode uit te voeren of informatie vrij te geven (CVE-2018-20309/CVE-2018-20310/ CVE-2018-20311/CVE-2018-20312/CVE-2018-20313/ CVE-2018-20314/ CVE-2018-20315/ CVE-2018-20316).	Steven Seeley (mr_me) van Source Incite
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem door de doorkruising van een map, wat kon leiden tot het uitvoeren van externe programmeercode. Dit treedt op doordat de toepassing gebruikers ten onrechte toestaat om een bepaald JavaScript aan te roepen dat alleen wordt gebruikt voor de cPDF-plug-in vanaf de console om lokale bestanden te schrijven (ZDI-CAN-7407).	Steven Seeley (mr_me) van Source Incite, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem door de overloop van gehele getallen, waardoor de toepassing crashte vanwege het ontbreken van de juiste validatie van de door de gebruiker verstrekte gegevens tijdens de verwerking van de XFA Stuff-methode. Aanvallers kunnen misbruik maken van dit beveiligingsprobleem om informatie vrij te geven (ZDI-CAN-7561).	Anonymous van Trend Micro Zero Day Initiative
Heeft mogelijke problemen opgelost waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem door lees-/schrijfbewerkingen buiten de grenswaarden of een niet-toegewezen aanwijzer, waardoor de toepassing crashte tijdens het converteren van HTML-bestanden naar PDF's. Dit beveiligingsprobleem kon door aanvallers worden gebruikt om informatie vrij te geven of externe programmeercode uit te voeren. Dit treedt op als gevolg van het mislukken van de lusbeëindiging, het vrijgeven van geheugen dat eerder is vrijgegeven of een abnormale logische verwerking (ZDI-CAN-7620/ZDI-CAN-7844/ZDI-CAN-8170).	T3rmin4t0r, in samenwerking met Trend Micro Zero Day Initiative kdot, in samenwerking met Trend Micro Zero Day Initiative RockStar, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte doordat de gegevens die in 'bmp_ptr->out_row_buffer' of '_JP2_Wavelet_Synthesis_Horizontal_Long' werden geschreven, de maximale toegewezen hoeveelheid overschreden tijdens het converteren van PDF's. (ZDI-CAN-7613/ZDI-CAN-7614/ZDI-CAN-7701).	Hao Li van ADLab of VenusTech, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem door een heapbeschadiging als gevolg van de desynchronisatie van gegevens tijdens het toevoegen van AcroForm.	Hui Gao en Zhaoyan Xu van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met betrekking tot het vrijgeven van informatie door niet-toegewezen aanwijzers, waardoor de toepassing crashte als gevolg van de meervoudige vrijgave van de aanwijzer net::IOBufferWithSize. (ZDI-CAN-7769).	Mat Powell van Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers of met schrijfbewerkingen buiten de grenswaarden bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte. Dit treedt op door de vrijgave van een wilde aanwijzer, omdat het resolutiegeheugen niet overeenkomstig wordt toegewezen wanneer de ucLevel-waarde wordt gewijzigd (ZDI-CAN-7696/ZDI-CAN-7694).	Hao Li van ADLab of VenusTech, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem door een geheugenbeschadiging die wordt veroorzaakt door het gebruik van een ongeldige aanwijzerkopie die het gevolg is van een vernietigd tekenreeksobject.	Hui Gao en Zhaoyan Xu van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij het uitvoeren van externe programmeercode voor niet-toegewezen aanwijzers, omdat deze de documentaanwijzer na verwijdering niet op null heeft ingesteld door het aanroepen van de XFA-API (ZDI-CAN-7777).	juggernaut, in samenwerking met Trend Micro Zero Day Initiative Hui Gao van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een IDN Homograph-aanval wanneer een gebruiker op een nepkoppeling klikte om een illegaal adres te openen.	Dr. Alfonso Muñoz (@mindcrypt) - Global Technical Cybersecurity Lead & Head van cybersecurity lab
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de verbinding met Cloud Drive, waardoor gebruikers vanuit de toepassing vrije toegang konden krijgen tot documenten op Google Drive, zelfs wanneer er was afgemeld.	JS
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een ISA-aanval bij het omzeilen van de handtekeningvalidatie en een onjuist validatieresultaat kon opleveren bij het valideren van een bepaald PDF-bestand dat kwaadwillig was gewijzigd of niet-standaard handtekeningen bevatte.	Vladislav Mladenov, Christian Mainka, Martin Grothe en Jörg Schwenk van de Ruhr-Universität Bochum en Karsten Meyer zu Selhausen van Hackmanit GmbH
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een JavaScript Denial of Service-aanval tijdens het verwijderen van pagina's in een document van slechts één pagina door de functie t.hidden = true aan te roepen.	Paolo Arnolfo (@sw33tLie) Hui Gao van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem vanwege de referenties van null-aanwijzers, waardoor de toepassing vastliep tijdens het ophalen van een PDF-object uit een document of bij het parseren van een bepaalde portfolio die een leeg woordenboek bevatte.	Xie Haikuo van Baidu Security Lab ADLab of Venustech Hui Gao van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode voor niet-toegewezen aanwijzers bij het insluiten van PDF's met een ongeldige URL door de put_src-interface aan te roepen vanuit de Foxit Browser-plug-in in Microsoft Word. Dit treedt op vanwege het gebruik van een illegaal IBindStatusCallback-object dat is vrijgegeven (ZDI-CAN-7874).	@j00sean, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte. Dit treedt op door het gebruik van een afwijkend widgetobject dat is getransformeerd vanuit een toegevoegd ongeldig knooppunt (ZDI-CAN-7972).	hungtt28 van Viettel Cyber Security, in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode voor niet-toegewezen aanwijzers of de vrijgave van informatie bij het verwijderen van een veld met de geneste scripts (ZDI-CAN-8162/ZDI-CAN-8163/ZDI-CAN-8164/ZDI-CAN-8165/ZDI-CAN-8229/ZDI-CAN-8230/ZDI-CAN-8231/ZDI-CAN-8272).	hemidallt, in samenwerking met Trend Micro Zero Day Initiative Anonymous, in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader 9.5 en Foxit PhantomPDF 9.5

Releasedatum: 16 april 2019

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 9.5 en Foxit PhantomPDF 9.5 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	9.4.1.16828 en eerder	Windows
Foxit PhantomPDF	9.4.1.16828 en alle eerdere 9.x-versies, 8.3.9.41099 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen opgelost, waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem omtrent de racevoorwaarde bij het aanroepen van proxyCPDFAction, proxyCheckLicence, proxyDoAction, proxyGetAppEdition of proxyPreviewAction met een groot geheel getal of een lange tekenreeks, waardoor een overloop van de stackbuffer of een leesbewerking buiten de grenswaarden werd geactiveerd. Aanvallers kunnen dit beveiligingsproblemen gebruiken om willekeurige programmeercode uit te voeren of informatie vrij te geven (CVE-2018-20309/CVE-2018-20310/ CVE-2018-20311/CVE-2018-20312/CVE-2018-20313/ CVE-2018-20314/ CVE-2018-20315/ CVE-2018-20316).	Steven Seeley (mr_me) van Source Incite
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem door de doorkruising van een map, wat kon leiden tot het uitvoeren van externe programmeercode. Dit treedt op doordat de toepassing gebruikers ten onrechte toestaat om een bepaald JavaScript aan te roepen dat alleen wordt gebruikt voor de cPDF-plug-in vanaf de console om lokale bestanden te schrijven (ZDI-CAN-7407).	Steven Seeley (mr_me) van Source Incite, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem door de overloop van gehele getallen, waardoor de toepassing crashte vanwege het ontbreken van de juiste validatie van de door de gebruiker verstrekte gegevens tijdens de verwerking van de XFA Stuff-methode. Aanvallers kunnen misbruik maken van dit beveiligingsprobleem om informatie vrij te geven (ZDI-CAN-7561).	Anonymous van Trend Micro Zero Day Initiative
Heeft mogelijke problemen opgelost waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem door lees-/schrijfbewerkingen buiten de grenswaarden of een niet-toegewezen aanwijzer, waardoor de toepassing crashte tijdens het converteren van HTML-bestanden naar PDF's. Dit beveiligingsprobleem kon door aanvallers worden gebruikt om informatie vrij te geven of externe programmeercode uit te voeren. Dit treedt op als gevolg van het mislukken van de lusbeëindiging, het vrijgeven van geheugen dat eerder is vrijgegeven of een abnormale logische verwerking (ZDI-CAN-7620/ZDI-CAN-7844/ZDI-CAN-8170).	T3rmin4t0r, in samenwerking met Trend Micro Zero Day Initiative kdot, in samenwerking met Trend Micro Zero Day Initiative RockStar, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte doordat de gegevens die in 'bmp_ptr->out_row_buffer' of '_JP2_Wavelet_Synthesis_Horizontal_Long' werden geschreven, de maximale toegewezen hoeveelheid overschreden tijdens het converteren van PDF's. (ZDI-CAN-7613/ZDI-CAN-7614/ZDI-CAN-7701).	Hao Li van ADLab of VenusTech, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem door een heapbeschadiging als gevolg van de desynchronisatie van gegevens tijdens het toevoegen van AcroForm.	Hui Gao en Zhaoyan Xu van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met betrekking tot het vrijgeven van informatie door niet-toegewezen aanwijzers, waardoor de toepassing crashte als gevolg van de meervoudige vrijgave van de aanwijzer net::IOBufferWithSize. (ZDI-CAN-7769).	Mat Powell van Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers of met schrijfbewerkingen buiten de grenswaarden bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte. Dit treedt op door de vrijgave van een wilde aanwijzer, omdat het resolutiegeheugen niet overeenkomstig wordt toegewezen wanneer de ucLevel-waarde wordt gewijzigd (ZDI-CAN-7696/ZDI-CAN-7694).	Hao Li van ADLab of VenusTech, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem door een geheugenbeschadiging die wordt veroorzaakt door het gebruik van een ongeldige aanwijzerkopie die het gevolg is van een vernietigd tekenreeksobject.	Hui Gao en Zhaoyan Xu van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij het uitvoeren van externe programmeercode voor niet-toegewezen aanwijzers, omdat deze de documentaanwijzer na verwijdering niet op null heeft ingesteld door het aanroepen van de XFA-API (ZDI-CAN-7777).	juggernaut, in samenwerking met Trend Micro Zero Day Initiative Hui Gao van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een IDN Homograph-aanval wanneer een gebruiker op een nepkoppeling klikte om een illegaal adres te openen.	Dr. Alfonso Muñoz (@mindcrypt) - Global Technical Cybersecurity Lead & Head van cybersecurity lab
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de verbinding met Cloud Drive, waardoor gebruikers vanuit de toepassing vrije toegang konden krijgen tot documenten op Google Drive, zelfs wanneer er was afgemeld.	JS
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een ISA-aanval bij het omzeilen van de handtekeningvalidatie en een onjuist validatieresultaat kon opleveren bij het valideren van een bepaald PDF-bestand dat kwaadwillig was gewijzigd of niet-standaard handtekeningen bevatte.	Vladislav Mladenov, Christian Mainka, Martin Grothe en Jörg Schwenk van de Ruhr-Universität Bochum en Karsten Meyer zu Selhausen van Hackmanit GmbH
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een JavaScript Denial of Service-aanval tijdens het verwijderen van pagina's in een document van slechts één pagina door de functie t.hidden = true aan te roepen.	Paolo Arnolfo (@sw33tLie) Hui Gao van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem vanwege de referenties van null-aanwijzers, waardoor de toepassing vastliep tijdens het ophalen van een PDF-object uit een document of bij het parseren van een bepaalde portfolio die een leeg woordenboek bevatte.	Xie Haikuo van Baidu Security Lab ADLab of Venustech Hui Gao van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode voor niet-toegewezen aanwijzers bij het insluiten van PDF's met een ongeldige URL door de put_src-interface aan te roepen vanuit de Foxit Browser-plug-in in Microsoft Word. Dit treedt op vanwege het gebruik van een illegaal IBindStatusCallback-object dat is vrijgegeven (ZDI-CAN-7874).	@j00sean, in samenwerking met Trend Micro Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte. Dit treedt op door het gebruik van een afwijkend widgetobject dat is getransformeerd vanuit een toegevoegd ongeldig knooppunt (ZDI-CAN-7972).	hungtt28 van Viettel Cyber Security, in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode voor niet-toegewezen aanwijzers of de vrijgave van informatie bij het verwijderen van een veld met de geneste scripts (ZDI-CAN-8162/ZDI-CAN-8163/ZDI-CAN-8164/ZDI-CAN-8165/ZDI-CAN-8229/ZDI-CAN-8230/ZDI-CAN-8231/ZDI-CAN-8272).	hemidallt, in samenwerking met Trend Micro Zero Day Initiative Anonymous, in samenwerking met Trend Micro Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

**Beveiligingsupdate in Foxit Reader Mac 3.2**

Releasedatum: 10 april 2019

Platform: macOS

Overzicht

Foxit heeft Foxit Reader Mac 3.2 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader Mac	3.1.0.0111	macOS

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader Mac op 'Nu controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader Mac van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de escalatie van lokale bevoegdheden vanwege de onjuiste instelling van machtigingen. Aanvallers zouden dit beveiligingsprobleem kunnen misbruiken om bevoegdheden te escaleren door de dynamische bibliotheken in de map PlugIns te wijzigen om willekeurige toepassingen uit te voeren.	Antonio Zekić van INFIGO IS d.o.o.

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PhantomPDF 8.3.9

Releasedatum: 15 januari 2019

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 8.3.9 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	8.3.8.39677 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lees-/schrijfbewerkingen buiten de grenswaarden, waardoor de toepassing crashte tijdens het verwerken van bepaalde XFA-elementattributen. Dit treedt op vanwege een fout bij het berekenen van een op null eindigende tekenreeks, aangezien de tekenreeks niet op de juiste wijze eindigt op null (CVE-2018-3956).	Aleksandar Nikolic van Cisco Talos
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij het omzeilen van de handtekeningvalidatie en een onjuist validatieresultaat kon opleveren bij het valideren van een bepaald PDF-bestand dat kwaadwillig was gewijzigd of niet-standaard handtekeningen bevatte (CVE-2018-18688/CVE-2018-18689).	Vladislav Mladenov, Christian Mainka, Karsten Meyer zu Selhausen, Martin Grothe, Jorg Schwenk van de Ruhr-Universität Bochum John Heasman van DocuSign
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode voor niet-toegewezen aanwijzers of de vrijgave van informatie, vanwege het gebruik van een pagina of aanwijzing die is gesloten of vrijgegeven (ZDI-CAN-7347/ZDI-CAN-7452/ZDI-CAN-7601).	Sebastian Apelt (@bitshifter123), in samenwerking met Trend Micro's Zero Day Initiative Anonymous, in samenwerking met Trend Micro's Zero Day Initiative juggernaut, in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie of met het uitvoeren van externe programmeercode, waardoor de toepassing crashte tijdens het parseren van bepaalde PDF-bestanden. Dit treedt op door een toegangsfout van de matrix in de kleurruimte en het kanaal of het ontbreken van de juiste validatie van illegale paletgegevens in de kleurruimte van het afbeeldingsobject (ZDI-CAN-7353/ZDI-CAN-7423).	Sebastian Feldmann van GoSecure, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een Denial of Service-aanval, waardoor de toepassing crashte tijdens het verwerken van bepaalde afbeeldingen. Dit treedt op doordat de toepassing gegevens van 2 bytes naar het einde van het toegewezen geheugen schrijft zonder te beoordelen of dit beschadiging zal veroorzaken.	Asprose van Chengdu University of Information Technology
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing crashte vanwege de toegang tot de null-aanwijzer bij het lezen van de TIFF-gegevens tijdens de TIFF-parsering.	Asprose van Chengdu University of Information Technology
Heeft mogelijke problemen verholpen waarbij de toepassing kon crashen als gevolg van het niet-ongedaan maken van de referentie naar een null-aanwijzer tijdens het parseren van PDF's.	Asprose van Chengdu University of Information Technology
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij het uitvoeren van externe programmeercode voor niet-toegewezen aanwijzers, waardoor de toepassing kon crashen tijdens het uitvoeren van een bepaald JavaScript. Dit treedt op door het gebruik van het document en de bijbehorende hulpobjecten die zijn gesloten na het aanroepen van de functie closeDoc (ZDI-CAN-7368).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative Hui Gao en Zhaoyan Xu van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het uitvoeren van externe programmeercode, wanneer HTML in PDF werd geconverteerd. Dit treedt op vanwege het gebruik van een vrijgegeven aanwijzer (ZDI-CAN-7369).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, dat werd veroorzaakt door de afwijking in de V8-engine als gevolg van het parseren van niet-standaard parameters (ZDI-CAN-7453).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, dat werd veroorzaakt door inconsistente rijnummers als gevolg van inconsistente tekenbreedte tijdens het opmaken van de tekst van het besturingselement (ZDI-CAN-7576).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing crashte. Dit treedt op bij het uitvoeren van bepaalde XFA-functies in vervaardigde PDF-bestanden, aangezien de toepassing het CXFA_Object kan transformeren in een CXFA_Node zonder het gegevenstype te beoordelen en de afwijkende CXFA_Node rechtstreeks kan gebruiken (ZDI-CAN-7355).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdate in Foxit PDF ActiveX 5.5.1

Releasedatum: 8 januari 2019

Platform: Windows

Overzicht

Foxit heeft Foxit PDF ActiveX 5.5.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF ActiveX	5.5.0 en eerder	Windows

Oplossing

Werk Foxit PDF ActiveX bij naar de nieuwste versie door hier te klikken om het nieuwste pakket van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met ingevoegde opdrachten. Dit treedt op doordat ActiveX geen beveiligingsmachtigingsbeheer heeft, waardoor JavaScript, LauchURL-acties en koppelingen binaire bestanden/programma's kunnen uitvoeren zonder de gebruiker om toestemming te vragen. (CVE-2018-19418/CVE-2018-19445/CVE-2018-19450/ CVE-2018-19451).	Steven Seeley (mr_me) van Source Incite
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met illegale schrijfbewerkingen van externe programmeercode. Dit treedt op doordat ActiveX geen beveiligingsmachtigingsbeheer heeft, waardoor JavaScript en exportAsFDF elk type bestand naar elke locatie kunnen schrijven zonder de gebruiker om toestemming te vragen (CVE-2018-19446/CVE-2018-19449).	Steven Seeley (mr_me) van Source Incite
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een op stack gebaseerde bufferoverloop door het parseren van tekenreeks1-URI's bij het uitvoeren van externe programmeercode. Dit treedt op door het ontbreken van een maximale lengtelimiet voor de URL, waardoor een lange URL-tekenreeks een stackoverloop veroorzaakt tijdens het parseren (CVE-2018-19447).	Steven Seeley (mr_me) van Source Incite
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij het uitvoeren van externe programmeercode voor niet-toegewezen aanwijzers. Dit treedt op wanneer een JavaScript-opdracht wordt geactiveerd door een muisinvoeractie of een verloren focus, waardoor de huidige aantekening wordt verwijderd en deze verwijst naar het vrijgegeven geheugen (CVE-2018-19452/CVE-2018-19444).	Steven Seeley (mr_me) van Source Incite
Heeft een mogelijk probleem verholpen waarbij de toepassing tijdens de installatie kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode door een niet-geïnitialiseerd object. Dit treedt op doordat de timer niet eindigt wanneer het formulier de focus verliest, waardoor de daaropvolgende programmeercode naar niet-geïnitialiseerde objecten verwijst (CVE-2018-19448).	Steven Seeley (mr_me) van Source Incite

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader 9.4 en Foxit PhantomPDF 9.4

Releasedatum: 3 januari 2019

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 9.4 en Foxit PhantomPDF 9.4 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	9.3.0.10826 en eerder	Windows
Foxit PhantomPDF	9.3.0.10826 en alle eerdere 9.x-versies, 8.3.8.39677 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lees-/schrijfbewerkingen buiten de grenswaarden, waardoor de toepassing crashte tijdens het verwerken van bepaalde XFA-elementattributen. Dit treedt op vanwege een fout bij het berekenen van een op null eindigende tekenreeks, aangezien de tekenreeks niet op de juiste wijze eindigt op null (CVE-2018-3956).	Aleksandar Nikolic van Cisco Talos
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij het omzeilen van de handtekeningvalidatie en een onjuist validatieresultaat kon opleveren bij het valideren van een bepaald PDF-bestand dat kwaadwillig was gewijzigd of niet-standaard handtekeningen bevatte (CVE-2018-18688/CVE-2018-18689).	Vladislav Mladenov, Christian Mainka, Karsten Meyer zu Selhausen, Martin Grothe, Jorg Schwenk van de Ruhr-Universität Bochum John Heasman van DocuSign
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode voor niet-toegewezen aanwijzers of de vrijgave van informatie, vanwege het gebruik van een pagina of aanwijzing die is gesloten of vrijgegeven (ZDI-CAN-7347/ZDI-CAN-7452/ZDI-CAN-7601).	Sebastian Apelt (@bitshifter123), in samenwerking met Trend Micro's Zero Day Initiative Anonymous, in samenwerking met Trend Micro's Zero Day Initiative juggernaut, in samenwerking met Trend Micro Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie of met het uitvoeren van externe programmeercode, waardoor de toepassing crashte tijdens het parseren van bepaalde PDF-bestanden. Dit treedt op door een toegangsfout van de matrix in de kleurruimte en het kanaal of het ontbreken van de juiste validatie van illegale paletgegevens in de kleurruimte van het afbeeldingsobject (ZDI-CAN-7353/ZDI-CAN-7423).	Sebastian Feldmann van GoSecure, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een Denial of Service-aanval, waardoor de toepassing crashte tijdens het verwerken van bepaalde afbeeldingen. Dit treedt op doordat de toepassing gegevens van 2 bytes naar het einde van het toegewezen geheugen schrijft zonder te beoordelen of dit beschadiging zal veroorzaken.	Asprose van Chengdu University of Information Technology
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing crashte vanwege de toegang tot de null-aanwijzer bij het lezen van de TIFF-gegevens tijdens de TIFF-parsering.	Asprose van Chengdu University of Information Technology
Heeft mogelijke problemen verholpen waarbij de toepassing kon crashen als gevolg van het niet-ongedaan maken van de referentie naar een null-aanwijzer tijdens het parseren van PDF's.	Asprose van Chengdu University of Information Technology
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij het uitvoeren van externe programmeercode voor niet-toegewezen aanwijzers, waardoor de toepassing kon crashen tijdens het uitvoeren van een bepaald JavaScript. Dit treedt op door het gebruik van het document en de bijbehorende hulpobjecten die zijn gesloten na het aanroepen van de functie closeDoc (ZDI-CAN-7368).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative Hui Gao en Zhaoyan Xu van Palo Alto Networks
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het uitvoeren van externe programmeercode, wanneer HTML in PDF werd geconverteerd. Dit treedt op vanwege het gebruik van een vrijgegeven aanwijzer (ZDI-CAN-7369).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, dat werd veroorzaakt door de afwijking in de V8-engine als gevolg van het parseren van niet-standaard parameters (ZDI-CAN-7453).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, dat werd veroorzaakt door inconsistente rijnummers als gevolg van inconsistente tekenbreedte tijdens het opmaken van de tekst van het besturingselement (ZDI-CAN-7576).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing crashte. Dit treedt op bij het uitvoeren van bepaalde XFA-functies in vervaardigde PDF-bestanden, aangezien de toepassing het CXFA_Object kan transformeren in een CXFA_Node zonder het gegevenstype te beoordelen en de afwijkende CXFA_Node rechtstreeks kan gebruiken (ZDI-CAN-7355).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdate in 3D Plugin Beta 9.4.0.16807

Releasedatum: 3 januari 2019

Platform: Windows

Overzicht

Foxit heeft 3D Plugin Beta 9.4.0.16807 uitgebracht voor Foxit Reader en PhantomPDF, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
3D Plugin Beta	9.3.0.10826 en eerder	Windows

Oplossing

Werk 3D Plugin Beta bij naar de nieuwste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk 3D Plugin Beta bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van 3D Plugin Beta voor Foxit Reader of PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met betrekking tot het schrijven buiten het bereik, waardoor de toepassing crashte wanneer gebruikers 3D Plugin Beta gebruikten. Dit treedt op tijdens het verwerken van bepaalde PDF-bestanden met ingesloten, specifiek vervaardigde 3D-inhoud vanwege de onjuiste verwerking van logische uitzonderingen in de IFXASSERT-functie (CVE-2019-6982).	Wei Lei van STAR Labs
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen/indexering buiten de grenswaarden of een heap-overloop, waardoor de toepassing crashte wanneer gebruikers 3D Plugin Beta gebruikten. Dit treedt op tijdens het verwerken van bepaalde PDF-bestanden met ingesloten, specifiek vervaardigde 3D-inhoud vanwege een toegangsfout van de matrix (CVE-2019-6983).	Wei Lei van STAR Labs
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met betrekking tot de overloop van gehele getallen, waardoor de toepassing crashte wanneer gebruikers 3D Plugin Beta gebruikten. Dit treedt op tijdens het verwerken van bepaalde PDF-bestanden met ingesloten, specifiek vervaardigde 3D-inhoud vanwege de vrijgave van geldig geheugen (CVE-2019-6984).	Wei Lei van STAR Labs
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers of typeverwarring, waardoor de toepassing crashte wanneer gebruikers 3D Plugin Beta gebruikten. Dit treedt op tijdens het verwerken van bepaalde PDF-bestanden met ingesloten, specifiek vervaardigde 3D-inhoud vanwege het gebruik van een wilde aanwijzer (CVE-2019-6985).	Wei Lei van STAR Labs

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

2018

Beschikbare beveiligingsupdate in Quick PDF Library 16.12

Releasedatum: 17 december 2018

Platform: Windows, macOS, Linux, Android, iOS

Overzicht

Foxit heeft Quick PDF Library 16.12 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Quick PDF Library	16.11 en eerder	Windows, macOS, Linux, Android, iOS

Oplossing

Ga naar onze website of neem contact op met de klantenservice om de bijgewerkte versie van Quick PDF Library te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een probleem verholpen waarbij het laden van een misvormde of schadelijke PDF met een recursieve paginastructuur met de functies LoadFromFile, LoadFromString of LoadFromStream resulteerde in een stackoverloop.	Gal Elbaz, Alon Boxiner, Eran Vaknin en Noa Novogroder van Check Point Software Technologies
Heeft een probleem verholpen waarbij het laden van een misvormde of schadelijke PDF met ongeldige XRef-tabelaanwijzers of ongeldige XRef-tabelgegevens met behulp van de functies LoadFromFile, LoadFromString, LoadFromStream, DAOpenFile of DAOpenFileReadOnly kan leiden tot een toegangsfout die wordt veroorzaakt door een externe geheugentoegang buiten de grenswaarden.	Gal Elbaz, Alon Boxiner, Eran Vaknin en Noa Novogroder van Check Point Software Technologies
Heeft een probleem verholpen waarbij het laden van een misvormde of schadelijke PDF met ongeldige XRef-vermeldingen met behulp van de functies DAOpenFile of DAOpenFileReadOnly kan leiden tot een toegangsfout die wordt veroorzaakt door een externe geheugentoegang buiten de grenswaarden.	Gal Elbaz, Alon Boxiner, Eran Vaknin en Noa Novogroder van Check Point Software Technologies

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdate in 3D Plugin Beta 8.3.8.1122

Releasedatum: 23 november 2018

Platform: Windows

Overzicht

Foxit heeft 3D Plugin Beta 8.3.8.1122 uitgebracht voor PhantomPDF, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
3D Plugin Beta	8.3.8.39677 en eerder	Windows

Oplossing

Werk 3D Plugin Beta bij naar de nieuwste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk 3D Plugin Beta bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van 3D Plugin Beta voor PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing crashte wanneer gebruikers 3D Plugin Beta gebruikten. Dit treedt op vanwege het gebruik van de null-aanwijzer of een toegangsfout van de aanwijzer in de U3D-engine tijdens het parseren van U3D (CVE-2018-18933/CVE-2018-19341/CVE-2018-19345/CVE-2018-19344).	Asprose van Chengdu University of Information Technology
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing crashte wanneer gebruikers 3D Plugin Beta gebruikten. Dit treedt op vanwege een JPEG-parseerfout in de IFXCore van de U3D-engine tijdens de U3D-parsering. (CVE-2018-19348/CVE-2018-19346/CVE-2018-19347).	Asprose van Chengdu University of Information Technology
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing crashte wanneer gebruikers 3D Plugin Beta gebruikten. Dit treedt op door een toegangsfout van de matrix in de IFXCore van de U3D-engine (CVE-2018-19342).	Asprose van Chengdu University of Information Technology
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing crashte wanneer gebruikers 3D Plugin Beta gebruikten als gevolg van de onjuiste logica in de IFXCore van de U3D-engine (CVE-2018-19343).	Asprose van Chengdu University of Information Technology

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdate in 3D Plugin Beta 9.3.0.10830

Releasedatum: 23 november 2018

Platform: Windows

Overzicht

Foxit heeft 3D Plugin Beta 9.3.0.10830 uitgebracht voor Foxit Reader en PhantomPDF, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
3D Plugin Beta	9.3.0.10809 en alle eerdere 9.x-versies	Windows

Oplossing

Werk 3D Plugin Beta bij naar de nieuwste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk 3D Plugin Beta bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van 3D Plugin Beta voor Foxit Reader of PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing crashte wanneer gebruikers 3D Plugin Beta gebruikten. Dit treedt op vanwege het gebruik van de null-aanwijzer of een toegangsfout van de aanwijzer in de U3D-engine tijdens het parseren van U3D (CVE-2018-18933/CVE-2018-19341/CVE-2018-19345/CVE-2018-19344).	Asprose van Chengdu University of Information Technology
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing crashte wanneer gebruikers 3D Plugin Beta gebruikten. Dit treedt op vanwege een JPEG-parseerfout in de IFXCore van de U3D-engine tijdens de U3D-parsering. (CVE-2018-19348/CVE-2018-19346/CVE-2018-19347).	Asprose van Chengdu University of Information Technology
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing crashte wanneer gebruikers 3D Plugin Beta gebruikten. Dit treedt op door een toegangsfout van de matrix in de IFXCore van de U3D-engine (CVE-2018-19342).	Asprose van Chengdu University of Information Technology
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing crashte wanneer gebruikers 3D Plugin Beta gebruikten als gevolg van de onjuiste logica in de IFXCore van de U3D-engine (CVE-2018-19343).	Asprose van Chengdu University of Information Technology

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PhantomPDF 8.3.8

Releasedatum: 2 november 2018

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 8.3.8 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	8.3.7.38093 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen opgelost waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met toegangs-/schrijf-/leesbewerkingen buiten de grenswaarden of een niet-toegewezen aanwijzer, waardoor de toepassing crashte bij het parseren van tekenreeksen zonder gehele getallen tijdens de conversie van HTML-bestanden naar PDF's. Dit beveiligingsprobleem kon door aanvallers worden misbruikt om externe programmeercode uit te voeren (ZDI-CAN-6230/ZDI-CAN-7128/ZDI-CAN-7129/ZDI-CAN-7130/ZDI-CAN-7131/ZDI-CAN-7132).	bit - MeePwn team, in samenwerking met Trend Micro's Zero Day Initiative Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers bij het uitvoeren van externe programmeercode of met schrijfbewerkingen buiten de grenswaarden bij het vrijgegeven van informatie, waardoor de toepassing crashte. Dit treedt op bij het uitvoeren van bepaald JavaScript vanwege het gebruik van een document en de bijbehorende objecten die zijn gesloten na het aanroepen van de functie closeDoc (ZDI-CAN-6333/ZDI-CAN-6334/ZDI-CAN-6335/ZDI-CAN-6336/ZDI-CAN-6352/ZDI-CAN-6353/ZDI-CAN-6355/ZDI-CAN-6434/ZDI-CAN-6435/ZDI-CAN-6435/ZDI-CAN-6354/CVE-2018-3940/CVE-2018-3941/CVE-2018-3942/CVE-2018-3943/CVE-2018-3944/CVE-2018-3945/CVE-2018-3946/CVE-2018-3957/CVE-2018-3962/CVE-2018-3958/CVE-2018-3959/CVE-2018-3960/CVE-2018-3961/CVE-2018-3964/CVE-2018-3965/CVE-2018-3966/CVE-2018-3967/ZDI-CAN-6439/ZDI-CAN-6455/ZDI-CAN-6471/ZDI-CAN-6472/ZDI-CAN-6473/ZDI-CAN-6474/ZDI-CAN-6475/ZDI-CAN-6477/ZDI-CAN-6478/ZDI-CAN-6479/ZDI-CAN-6480/ZDI-CAN-6481/ZDI-CAN-6482/ZDI-CAN-6483/ZDI-CAN-6484/ZDI-CAN-6485/ZDI-CAN-6486/ZDI-CAN-6487/ZDI-CAN-6501/ZDI-CAN-6502/ZDI-CAN-6503/ZDI-CAN-6504/ZDI-CAN-6505/ZDI-CAN-6506/ZDI-CAN-6507/ZDI-CAN-6509/ZDI-CAN-6511/ ZDI-CAN-6512/ZDI-CAN-6513/ZDI-CAN-6514/ZDI-CAN-6517/ZDI-CAN-6518/ZDI-CAN-6519/ZDI-CAN-6520/ZDI-CAN-6521/ZDI-CAN-6522/ZDI-CAN-6523/ZDI-CAN-6524/ ZDI-CAN-6817/ZDI-CAN-6848/ZDI-CAN-6849/ZDI-CAN-6850/ZDI-CAN-6851/ZDI-CAN-6915/ZDI-CAN-7141/ZDI-CAN-7163/ZDI-CAN-6470/ZDI-CAN-7103/ZDI-CAN-7138/ZDI-CAN-7169/ZDI-CAN-7170/CVE-2018-3993/CVE-2018-3994/CVE-2018-3995/CVE-2018-3996/CVE-2018-3997/ZDI-CAN-7067/CVE-2018-16291/CVE-2018-16293/CVE-2018-16295/CVE-2018-16296/CVE-2018-16297/CVE-2018-16294/CVE-2018-16292/ZDI-CAN-7253/ZDI-CAN-7252/ZDI-CAN-7254/ZDI-CAN-7255).	Steven Seeley (mr_me) van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative Aleksandar Nikolic van Cisco Talos Esteban Ruiz (mr_me) van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative Anonymous, in samenwerking met Trend Micro's Zero Day Initiative Abago Forgans, in samenwerking met Trend Micro's Zero Day Initiative Mat Powell van Trend Micro Zero Day Initiative Kamlapati Choubey, in samenwerking met Trend Micro's Zero Day Initiative ManchurianClassmate van 360 Yunying Labs
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers bij het openen van een kwaadaardig bestand. Dit treedt op doordat er herhaaldelijk een dialoogvenster verschijnt, waardoor de toepassing niet kan worden gesloten (ZDI-CAN-6438/ZDI-CAN-6458).	Esteban Ruiz (mr_me) van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers vanwege het gebruik van objecten die zijn verwijderd of gesloten (ZDI-CAN-6614/ZDI-CAN-6616).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Dit treedt op door het gebruik van een besturingsobject nadat dit is verwijderd binnen de statische XFA-indeling of door de toegang tot een wilde aanwijzer als gevolg van een verwijderd object na een opnieuw gemaakte XFA-indeling (ZDI-CAN-6500/ZDI-CAN-6700).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers bij het verwerken van bepaalde eigenschappen van aantekeningsobjecten als gevolg van het gebruik van vrijgegeven objecten (ZDI-CAN-6498/ZDI-CAN-6499/ZDI-CAN-6820/ZDI-CAN-6845/ ZDI-CAN-7157).	Kamlapati Choubey van Trend Micro Security Research, in samenwerking met Trend Micro's Zero Day Initiative Sooraj K S (@soorajks) Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers, waardoor de toepassing crashte tijdens het verwerken van kwaadaardige PDF-bestanden of bepaalde eigenschappen van een PDF-formulier. Dit gebeurt omdat de toepassing de waarde voor het veldobject blijft instellen nadat dit is verwijderd (ZDI-CAN-6890/ZDI-CAN-7068/ZDI-CAN-7069/ZDI-CAN-7070/ZDI-CAN-7145).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het vrijgeven van informatie van een niet-geïnitialiseerd object, omdat er een niet-geïnitialiseerd object bestaat bij het maken van ArrayBuffer- en DataView-objecten (CVE-2018-17781).	Steven Seeley (mr_me) van Source Incite, in samenwerking met iDefense Labs
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met gegevensbeschadiging bij het ophalen van een pageIndex-object zonder beginwaarde (CVE-2018-3992).	Abago Forgans Aleksandar Nikolic van Cisco Talos
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie tijdens het verwerken van de Lower ()-methode van een XFA-object vanwege de abnormale gegevenstoegang als gevolg van het verschil in de gedefinieerde tekenlengte van het object in WideString en ByteString (ZDI-CAN-6617).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem door een typeverwarring van externe programmeercode vanwege het gebruik van een null-aanwijzer zonder validatie (ZDI-CAN-6819).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing crashte bij het parseren van bepaalde BMP-afbeeldingen vanwege de toegang tot een ongeldig adres (ZDI-CAN-6844).	kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie tijdens het verwerken van een PDF-bestand dat niet-standaard handtekeningen bevatte. Dit probleem wordt veroorzaakt door het ontbreken van de juiste validatie bij het verkrijgen van een nulwaarde tijdens het verkrijgen van handtekeninggegevens door middel van OpenSSL, aangezien de geschreven handtekeninggegevens onjuist zijn (ZDI-CAN-7073).	Sebastian Feldmann van GoSecure, in samenwerking met Trend Micro's Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader 9.3 en Foxit PhantomPDF 9.3

Releasedatum: 28 september, 2018

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 9.3 en Foxit PhantomPDF 9.3 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	9.2.0.9297 en eerder	Windows
Foxit PhantomPDF	9.2.0.9297 en alle eerdere 9.x-versies, 8.3.7.38093 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen opgelost waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met toegangs-/schrijf-/leesbewerkingen buiten de grenswaarden of een niet-toegewezen aanwijzer, waardoor de toepassing crashte bij het parseren van tekenreeksen zonder gehele getallen tijdens de conversie van HTML-bestanden naar PDF's. Dit beveiligingsprobleem kon door aanvallers worden misbruikt om externe programmeercode uit te voeren (ZDI-CAN-6230/ZDI-CAN-7128/ZDI-CAN-7129/ZDI-CAN-7130/ZDI-CAN-7131/ZDI-CAN-7132).	bit - MeePwn team, in samenwerking met Trend Micro's Zero Day Initiative Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers bij het uitvoeren van externe programmeercode of met schrijfbewerkingen buiten de grenswaarden bij het vrijgegeven van informatie, waardoor de toepassing crashte. Dit treedt op bij het uitvoeren van bepaald JavaScript vanwege het gebruik van een document en de bijbehorende hulpobjecten die zijn gesloten na het aanroepen van de functie closeDoc (ZDI-CAN-6333/ZDI-CAN-6334/ZDI-CAN-6335/ZDI-CAN-6336/ZDI-CAN-6352/ZDI-CAN-6353/ZDI-CAN-6355/ZDI-CAN-6434/ZDI-CAN-6435/ZDI-CAN-6435/ZDI-CAN-6354/CVE-2018-3940/CVE-2018-3941/CVE-2018-3942/CVE-2018-3943/CVE-2018-3944/CVE-2018-3945/CVE-2018-3946/CVE-2018-3957/CVE-2018-3962/CVE-2018-3958/CVE-2018-3959/CVE-2018-3960/CVE-2018-3961/CVE-2018-3964/CVE-2018-3965/CVE-2018-3966/CVE-2018-3967/ZDI-CAN-6439/ZDI-CAN-6455/ZDI-CAN-6471/ZDI-CAN-6472/ZDI-CAN-6473/ZDI-CAN-6474/ZDI-CAN-6475/ZDI-CAN-6477/ZDI-CAN-6478/ZDI-CAN-6479/ZDI-CAN-6480/ZDI-CAN-6481/ZDI-CAN-6482/ZDI-CAN-6483/ZDI-CAN-6484/ZDI-CAN-6485/ZDI-CAN-6486/ZDI-CAN-6487/ZDI-CAN-6501/ZDI-CAN-6502/ZDI-CAN-6503/ZDI-CAN-6504/ZDI-CAN-6505/ZDI-CAN-6506/ZDI-CAN-6507/ZDI-CAN-6509/ZDI-CAN-6511/ ZDI-CAN-6512/ZDI-CAN-6513/ZDI-CAN-6514/ZDI-CAN-6517/ZDI-CAN-6518/ZDI-CAN-6519/ZDI-CAN-6520/ZDI-CAN-6521/ZDI-CAN-6522/ZDI-CAN-6523/ZDI-CAN-6524/ ZDI-CAN-6817/ZDI-CAN-6848/ZDI-CAN-6849/ZDI-CAN-6850/ZDI-CAN-6851/ZDI-CAN-6915/ZDI-CAN-7141/ZDI-CAN-7163/ZDI-CAN-6470/ZDI-CAN-7103/ZDI-CAN-7138/ZDI-CAN-7169/ZDI-CAN-7170/CVE-2018-3993/CVE-2018-3994/CVE-2018-3995/CVE-2018-3996/CVE-2018-3997/ZDI-CAN-7067/CVE-2018-16291/CVE-2018-16293/CVE-2018-16295/CVE-2018-16296/CVE-2018-16297/CVE-2018-16294/CVE-2018-16292/ZDI-CAN-7253/ZDI-CAN-7252/ZDI-CAN-7254/ZDI-CAN-7255).	Steven Seeley (mr_me) van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative Aleksandar Nikolic van Cisco Talos Esteban Ruiz (mr_me) van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative Anonymous, in samenwerking met Trend Micro's Zero Day Initiative Abago Forgans, in samenwerking met Trend Micro's Zero Day Initiative Mat Powell van Trend Micro Zero Day Initiative Kamlapati Choubey, in samenwerking met Trend Micro's Zero Day Initiative ManchurianClassmate van 360 Yunying Labs
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers bij het openen van een kwaadaardig bestand. Dit treedt op doordat er herhaaldelijk een dialoogvenster verschijnt, waardoor de toepassing niet kan worden gesloten (ZDI-CAN-6438/ZDI-CAN-6458).	Esteban Ruiz (mr_me) van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers vanwege het gebruik van objecten die zijn verwijderd of gesloten (ZDI-CAN-6614/ZDI-CAN-6616).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Dit treedt op door het gebruik van een besturingsobject nadat dit is verwijderd binnen de statische XFA-indeling of door de toegang tot een wilde aanwijzer als gevolg van een verwijderd object na een opnieuw gemaakte XFA-indeling (ZDI-CAN-6500/ZDI-CAN-6700).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers bij het verwerken van bepaalde eigenschappen van aantekeningsobjecten als gevolg van het gebruik van vrijgegeven objecten (ZDI-CAN-6498/ZDI-CAN-6499/ZDI-CAN-6820/ZDI-CAN-6845/ ZDI-CAN-7157).	Kamlapati Choubey van Trend Micro Security Research, in samenwerking met Trend Micro's Zero Day Initiative Sooraj K S (@soorajks) Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers, waardoor de toepassing crashte tijdens het verwerken van kwaadaardige PDF-bestanden of bepaalde eigenschappen van een PDF-formulier. Dit gebeurt omdat de toepassing de waarde voor het veldobject blijft instellen nadat dit is verwijderd (ZDI-CAN-6890/ZDI-CAN-7068/ZDI-CAN-7069/ZDI-CAN-7070/ZDI-CAN-7145).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het vrijgeven van informatie van een niet-geïnitialiseerd object, omdat er een niet-geïnitialiseerd object bestaat bij het maken van ArrayBuffer- en DataView-objecten (CVE-2018-17781).	Steven Seeley (mr_me) van Source Incite, in samenwerking met iDefense Labs
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met gegevensbeschadiging bij het ophalen van een pageIndex-object zonder beginwaarde (CVE-2018-3992).	Abago Forgans Aleksandar Nikolic van Cisco Talos
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie tijdens het verwerken van de Lower ()-methode van een XFA-object vanwege de abnormale gegevenstoegang als gevolg van het verschil in de gedefinieerde tekenlengte van het object in WideString en ByteString (ZDI-CAN-6617).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem door een typeverwarring van externe programmeercode vanwege het gebruik van een null-aanwijzer zonder validatie (ZDI-CAN-6819).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing crashte bij het parseren van bepaalde BMP-afbeeldingen vanwege de toegang tot een ongeldig adres (ZDI-CAN-6844).	kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie tijdens het verwerken van een PDF-bestand dat niet-standaard handtekeningen bevatte. Dit probleem wordt veroorzaakt door het ontbreken van de juiste validatie bij het verkrijgen van een nulwaarde tijdens het verkrijgen van handtekeninggegevens door middel van OpenSSL, aangezien de geschreven handtekeninggegevens onjuist zijn (ZDI-CAN-7073).	Sebastian Feldmann van GoSecure, in samenwerking met Trend Micro's Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beveiligingsupdate in het e-mailadvertentiesysteem van Foxit

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij het e-mailadvertentiesysteem van Foxit dat door de Interspire Email Marketer-service werd gebruikt, kon worden blootgesteld aan een beveiligingsprobleem met het omzeilen van de verificatie van externe beheerders voor Interspire Email Marketeer. Dit probleem had door aanvallers kunnen worden misbruikt om informatie openbaar te maken.	Velayutham Selvaraj van TwinTech Solutions

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdate in Foxit Reader 2.4.4

Releasedatum: 18 september 2018

Platform: Linux

Overzicht

Foxit heeft Foxit Reader 2.4.4 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	2.4.1.0609 en eerder	Linux

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader op 'Nu controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een Denial of Service-aanval en kon crashen vanwege de toegang tot null-aanwijzers.	L5 van Qihoo 360 Vulcan Team

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PhantomPDF 8.3.7

Releasedatum: 16 augustus 2018

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 8.3.7 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	8.3.6.35572 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers, waardoor de toepassing crashte vanwege het gebruik van objecten, aanwijzers of documenten die waren vrijgegeven of gesloten (ZDI-CAN-5415/ZDI-CAN-5416/ZDI-CAN-5417/V-88f4smlocs/ZDI-CAN-5771/ZDI-CAN-6231/ZDI-CAN-6232/ZDI-CAN-6233/ ZDI-CAN-6211/ZDI-CAN-6212/ZDI-CAN-6213/ZDI-CAN-6327/ZDI-CAN-6328/ZDI-CAN-6214/ZDI-CAN-6215/ZDI-CAN-6216/ZDI-CAN-6217/ZDI-CAN-6218/ZDI-CAN-6219/ZDI-CAN-6220/ZDI-CAN-6265/ZDI-CAN-6266/ZDI-CAN-6267/ZDI-CAN-6326/ZDI-CAN-6329/ZDI-CAN-6330/ CVE-2018-3924/CVE-2018-3939).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative Sudhakar Verma en Ashfaq Ansari - Project Srishti, in samenwerking met iDefense Labs nsfocus security team, in samenwerking met Trend Micro's Zero Day Initiative bit - MeePwn team, in samenwerking met Trend Micro's Zero Day Initiative Steven Seeley (mr_me) van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative Esteban Ruiz (mr_me) van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative Aleksandar Nikolic van Cisco Talos
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lees-/schrijfbewerkingen buiten de grenswaarden bij het parseren of converteren van JPG-bestanden vanwege een toegangsfout van de aanwijzer. Dit probleem had door aanvallers kunnen worden misbruikt om informatie vrij te geven of externe programmeercode uit te voeren (ZDI-CAN-5756/ZDI-CAN-5896/ZDI-CAN-5873).	soiax, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring bij het uitvoeren van externe programmeercode tijdens het aanroepen van de functie addAdLayer, doordat het bepaalde object in de functie is vervangen (ZDI-CAN-6003/ZDI-CAN-6004/ZDI-CAN-6005/ZDI-CAN-6006/ZDI-CAN-6007/ZDI-CAN-6008/ZDI-CAN-6009/ZDI-CAN-6010/ZDI-CAN-6011/ZDI-CAN-6012/ZDI-CAN-6013/ZDI-CAN-6014/ZDI-CAN-6015/ZDI-CAN-6016/ZDI-CAN-6017/ZDI-CAN-6018/ZDI-CAN-6019/ZDI-CAN-6020/ZDI-CAN-6021/ZDI-CAN-6022/ZDI-CAN-6023/ZDI-CAN-6024/ZDI-CAN-6025/ZDI-CAN-6026/ZDI-CAN-6027/ZDI-CAN-6028/ZDI-CAN-6029/ZDI-CAN-6030/ZDI-CAN-6031/ZDI-CAN-6032/ZDI-CAN-6033/ZDI-CAN-6034/ZDI-CAN-6035/ZDI-CAN-6036/ZDI-CAN-6037/ZDI-CAN-6038/ZDI-CAN-6039/ZDI-CAN-6058/ZDI-CAN-6059/ZDI-CAN-6060/ZDI-CAN-5770/ZDI-CAN-5773).	nsfocus security team, in samenwerking met Trend Micro's Zero Day Initiative TrendyTofu - Trend Micro Zero Day Initiative, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het schrijven van willekeurige bestanden bij het uitvoeren van het JavaScript exportAsFDF of exportData, doordat de toepassing het te exporteren bestandstype onjuist valideert, wat had kunnen leiden tot het uitvoeren van externe programmeercode (ZDI-CAN-5619/ZDI-CAN-6332/ZDI-CAN-5757).	Steven Seeley (mr_me) van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte. Dit treedt op bij het uitvoeren van bepaalde JavaScript-functies, doordat de toepassing een niet-XFA-knooppunt kan transformeren naar een XFA-knooppunt en rechtstreeks gebruik kan maken van het afwijkende XFA-knooppunt (ZDI-CAN-5641/ZDI-CAN-5642/ZDI-CAN-5774/ZDI-CAN-6331).	nsfocus security team, in samenwerking met Trend Micro's Zero Day Initiative Steven Seeley (mr_me) van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij het uitvoeren van externe programmeercode met niet-geïnitialiseerde aanwijzers. Dit treedt op doordat het matrixobject wordt getransformeerd en wordt gebruikt als woordenboekobject in de gevallen waarbij het inline-afbeeldingswoordenboek een ongeldig woordenboekeindsymbool en matrixstartsymbool bevat, wat ertoe leidt dat de inline-afbeelding wordt vrijgegeven en een nieuw matrixobject wordt toegevoegd (ZDI-CAN-5763/ZDI-CAN-6221).	Steven Seeley (mr_me) van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de diefstal van NTLM-referenties bij de uitvoering van GoToE- en GoToR-acties, wat had kunnen leiden tot de openbaarmaking van informatie.	Deepu
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een op heap gebaseerde bufferoverloop bij de uitvoering van externe programmeercode, waardoor de toepassing kon crashen vanwege een matrix buiten de grenzen tijdens het parseren van een onjuist ingedeeld PDF-bestand (ZDI-CAN-6222).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de overloop van gehele getallen bij het uitvoeren van externe programmeercode, waardoor de toepassing kon crashen, aangezien de gelezen waarde van een vervaardigd PDF-bestand de maximale waarde die het gegevenstype kon vertegenwoordigen, overschrijdt (ZDI-CAN-6223).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring bij het uitvoeren van externe programmeercode, aangezien de op ICC gebaseerde kleurruimte werd vervangen door een patroonkleurruimte wanneer de toepassing 'ColorSpace' parseerde in een PDF (ZDI-CAN-6362/ZDI-CAN-6683).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing crashte als gevolg van een onjuiste verwerking van het proces bij het uitvoeren van de functie GetAssociatedPageIndex (ZDI-CAN-6351).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon crashen bij het uitvoeren van JavaScript var test = new ArrayBuffer(0xfffffffe) vanwege de grote buffertoepassing.	Zhiyuan Wang of Chengdu Qihoo360 Tech Co. Ltd

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader 9.2 en Foxit PhantomPDF 9.2

Releasedatum: 19 juli 2018

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 9.2 en Foxit PhantomPDF 9.2 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	9.1.0.5096 en eerder	Windows
Foxit PhantomPDF	9.1.0.5096 en alle eerdere 9.x-versies, 8.3.6.35572 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers, waardoor de toepassing crashte vanwege het gebruik van objecten, aanwijzers of documenten die waren vrijgegeven of gesloten (ZDI-CAN-5415/ZDI-CAN-5416/ZDI-CAN-5417/V-88f4smlocs/ZDI-CAN-5771/ZDI-CAN-6231/ZDI-CAN-6232/ZDI-CAN-6233/ ZDI-CAN-6211/ZDI-CAN-6212/ZDI-CAN-6213/ZDI-CAN-6327/ZDI-CAN-6328/ZDI-CAN-6214/ZDI-CAN-6215/ZDI-CAN-6216/ZDI-CAN-6217/ZDI-CAN-6218/ZDI-CAN-6219/ZDI-CAN-6220/ZDI-CAN-6265/ZDI-CAN-6266/ZDI-CAN-6267/ZDI-CAN-6326/ZDI-CAN-6329/ZDI-CAN-6330/ CVE-2018-3924/CVE-2018-3939).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative Sudhakar Verma en Ashfaq Ansari - Project Srishti, in samenwerking met iDefense Labs nsfocus security team, in samenwerking met Trend Micro's Zero Day Initiative bit - MeePwn team, in samenwerking met Trend Micro's Zero Day Initiative Steven Seeley (mr_me) van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative Esteban Ruiz (mr_me) van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative Aleksandar Nikolic van Cisco Talos
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lees-/schrijfbewerkingen buiten de grenswaarden bij het parseren of converteren van JPG-bestanden vanwege een toegangsfout van de aanwijzer. Dit probleem had door aanvallers kunnen worden misbruikt om informatie vrij te geven of externe programmeercode uit te voeren (ZDI-CAN-5756/ZDI-CAN-5896/ZDI-CAN-5873).	soiax, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring bij de uitvoering van externe programmeercode tijdens het aanroepen van de functie addAdLayer, aangezien het bepaalde object in de functie is vervangen (ZDI-CAN-6003/ZDI-CAN-6004/ZDI-CAN-6005/ZDI-CAN-6006/ZDI-CAN-6007/ZDI-CAN-6008/ZDI-CAN-6009/ZDI-CAN-6010/ZDI-CAN-6011/ZDI-CAN-6012/ZDI-CAN-6013/ZDI-CAN-6014/ZDI-CAN-6015/ZDI-CAN-6016/ZDI-CAN-6017/ZDI-CAN-6018/ZDI-CAN-6019/ZDI-CAN-6020/ZDI-CAN-6021/ZDI-CAN-6022/ZDI-CAN-6023/ZDI-CAN-6024/ZDI-CAN-6025/ZDI-CAN-6026/ZDI-CAN-6027/ZDI-CAN-6028/ZDI-CAN-6029/ZDI-CAN-6030/ZDI-CAN-6031/ZDI-CAN-6032/ZDI-CAN-6033/ZDI-CAN-6034/ZDI-CAN-6035/ZDI-CAN-6036/ZDI-CAN-6037/ZDI-CAN-6038/ZDI-CAN-6039/ZDI-CAN-6058/ZDI-CAN-6059/ZDI-CAN-6060/ZDI-CAN-5770/ZDI-CAN-5773).	nsfocus security team, in samenwerking met Trend Micro's Zero Day Initiative TrendyTofu - Trend Micro Zero Day Initiative, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het schrijven van willekeurige bestanden bij het uitvoeren van het JavaScript exportAsFDF of exportData, doordat de toepassing het te exporteren bestandstype onjuist valideert, wat had kunnen leiden tot het uitvoeren van externe programmeercode (ZDI-CAN-5619/ZDI-CAN-6332/ZDI-CAN-5757).	Steven Seeley (mr_me) van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte. Dit treedt op bij het uitvoeren van bepaalde JavaScript-functies, doordat de toepassing een niet-XFA-knooppunt kan transformeren naar een XFA-knooppunt en rechtstreeks gebruik kan maken van het afwijkende XFA-knooppunt (ZDI-CAN-5641/ZDI-CAN-5642/ZDI-CAN-5774/ZDI-CAN-6331).	nsfocus security team, in samenwerking met Trend Micro's Zero Day Initiative Steven Seeley (mr_me) van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem bij het uitvoeren van externe programmeercode met niet-geïnitialiseerde aanwijzers. Dit treedt op doordat het matrixobject wordt getransformeerd en wordt gebruikt als woordenboekobject in de gevallen waarbij het inline-afbeeldingswoordenboek een ongeldig woordenboekeindsymbool en matrixstartsymbool bevat, wat ertoe leidt dat de inline-afbeelding wordt vrijgegeven en een nieuw matrixobject wordt toegevoegd (ZDI-CAN-5763/ZDI-CAN-6221).	Steven Seeley (mr_me) van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de diefstal van NTLM-referenties bij de uitvoering van GoToE- en GoToR-acties, wat had kunnen leiden tot de openbaarmaking van informatie.	Deepu
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een op heap gebaseerde bufferoverloop bij de uitvoering van externe programmeercode, waardoor de toepassing kon crashen vanwege een matrix buiten de grenzen tijdens het parseren van een onjuist ingedeeld PDF-bestand (ZDI-CAN-6222).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de overloop van gehele getallen bij het uitvoeren van externe programmeercode, waardoor de toepassing kon crashen, aangezien de gelezen waarde van een vervaardigd PDF-bestand de maximale waarde die het gegevenstype kon vertegenwoordigen, overschrijdt (ZDI-CAN-6223).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring bij het uitvoeren van externe programmeercode, aangezien de op ICC gebaseerde kleurruimte werd vervangen door een patroonkleurruimte wanneer de toepassing 'ColorSpace' parseerde in een PDF (ZDI-CAN-6362/ZDI-CAN-6683).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie, waardoor de toepassing crashte als gevolg van een onjuiste verwerking van het proces bij het uitvoeren van de functie GetAssociatedPageIndex (ZDI-CAN-6351).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon crashen bij het uitvoeren van JavaScript var test = new ArrayBuffer(0xfffffffe) vanwege de grote buffertoepassing.	Zhiyuan Wang of Chengdu Qihoo360 Tech Co. Ltd

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdate in Foxit PhantomPDF 8.3.6

Releasedatum: 7 mei 2018

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 8.3.6 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	8.3.5.30351 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het onveilig laden van DLL-bestanden, aangezien de toepassing een onvoldoende gekwalificeerd pad passeert bij het laden van een externe bibliotheek wanneer een gebruiker de toepassing start. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren door een kwaadaardig DLL-bestand in de opgegeven padmap te plaatsen.	Ye Yint Min Thu htut
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een heap-bufferoverloop bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte en bepaalde functieoproepen misbruikte. (CVE-2017-17557/ZDI-CAN-5472/ZDI-CAN-5895/ZDI-CAN-5473).	Steven Seeley (mr_me) van Source Incite willJ van Tencent PC Manager, in samenwerking met Trend Micro's Zero Day Initiative Add van MeePwn, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers vanwege het gebruik van een vrijgegeven object bij het uitvoeren van JavaScript of het aanroepen van bepaalde functies om objecteigenschappen te verkrijgen. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren (CVE-2017-14458/ZDI-CAN-5436/ZDI-CAN-5527/ZDI-CAN-5528/ZDI-CAN-5529/ZDI-CAN-5531/ZDI-CAN-5617/ZDI-CAN-5618/ZDI-CAN-5620/ZDI-CAN-5579/ZDI-CAN-5580/ZDI-CAN-5488/ZDI-CAN-5489/ZDI-CAN-5312/ZDI-CAN-5432/ ZDI-CAN-5433/ZDI-CAN-5434/ZDI-CAN-5435/ZDI-CAN-5568/ZDI-CAN-5491/ZDI-CAN-5379/ZDI-CAN-5382).	Aleksandar Nikolic van Cisco Talos Steven Seeley (mr_me) van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative bit van meepwn team, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het vrijgeven van informatie door niet-geïnitialiseerd(e) geheugen/aanwijzer of het uitvoeren van externe programmeercode vanwege het gebruik van niet-geïnitialiseerde nieuwe Uint32Array-object- of lidvariabelen in PrintParams of m_pCurContex-objecten (ZDI-CAN-5437/ZDI-CAN-5438/CVE-2018-3842/ZDI-CAN-5380).	Steven Seeley van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative Aleksandar Nikolic van Cisco Talos bit van meepwn team, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lees-/schrijfbewerkingen buiten de grenswaarden bij de uitvoering van externe programmeercode of het vrijgeven van informatie. Hierdoor kon de toepassing crashen vanwege een onjuiste geheugentoewijzing, geheugenvastlegging, geheugentoegang of matrixtoegang (ZDI-CAN-5442/ZDI-CAN-5490/ZDI-CAN-5413/ZDI-CAN-5754/ZDI-CAN-5755/ZDI-CAN-5758).	Phil Blankenship van Cerberus Security, in samenwerking met Trend Micro's Zero Day Initiative Steven Seeley van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative Sudhakar Verma en Ashfaq Ansari - Project Srishti, in samenwerking met Trend Micro's Zero Day Initiative soiax, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan beveiligingsproblemen met typeverwarring bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte. Dit treedt op bij het uitvoeren van bepaalde XFA-functies in vervaardigde PDF-bestanden, aangezien de toepassing een niet-CXFA_Object in een CXFA_Object kan transformeren zonder het gegevenstype te beoordelen en het afwijkende CXFA_Object kan gebruiken om rechtstreeks het lay-outobject op te halen (ZDI-CAN-5370/ZDI-CAN-5371/ZDI-CAN-5372/ZDI-CAN-5373/ ZDI-CAN-5374/ZDI-CAN-5375/ZDI-CAN-5376/ZDI-CAN-5377).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het vrijgeven van informatie met niet-toegewezen aanwijzers of het uitvoeren van externe programmeercode. Hierdoor crashte de toepassing, aangezien deze pagina's kon blijven doorkruisen nadat het document was gesloten of bepaalde objecten herhaaldelijk kon vrijgeven (ZDI-CAN-5471/ZDI-CAN-5414/CVE-2018-3853).	willJ van Tencent PC Manager, in samenwerking met Trend Micro's Zero Day Initiative Sudhakar Verma en Ashfaq Ansari - Project Srishti, in samenwerking met Trend Micro's Zero Day Initiative Aleksandar Nikolic van Cisco Talos
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode of het vrijgeven van informatie door het misbruiken van GoToE- en GoToR-acties om willekeurige uitvoerbare toepassingen op een doelsysteem te openen of uit te voeren.	Assaf Baharav van Threat Response Research Team
Heeft mogelijke problemen verholpen waarbij de toepassing tijdens het uitschakelen van de Veilige leesmodus kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij de vrijgave van informatie door het misbruiken van de functie _JP2_Codestream_Read_SOT (ZDI-CAN-5549).	soiax, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers vanwege het gebruik van een object dat was gesloten of verwijderd (ZDI-CAN-5569/ZDI-CAN-5570/ZDI-CAN-5571/ZDI-CAN-5572/CVE-2018-3850/ZDI-CAN-5762/CVE-2018-10303/CVE-2018-10302).	Steven Seeley (mr_me) van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative Aleksandar Nikolic van Cisco Talos Steven Seeley van Source Incite, in samenwerking met iDefense Labs
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring bij het parseren van bestanden met bijbehorende bestandsaantekeningen als gevolg van het ongedaan maken van de referentie van een object van een ongeldig type, wat kon leiden tot de openbaarmaking van gevoelig geheugen of het uitvoeren van willekeurige programmeercode (CVE-2018-3843).	Aleksandar Nikolic van Cisco Talos
Heeft een mogelijk probleem verholpen waarbij de toepassing kon crashen bij het openen van een PDF in een browser vanuit Microsoft Word, doordat de toepassing een COM-object onjuist verwerkte.	Anurudh
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van willekeurige toepassingen, doordat gebruikers vanuit de toepassing uitvoerbare bestanden konden insluiten in een PDF-portfolio (FG-VD-18-029).	Chris Navarrete van Fortinet's FortiGuard Labs

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader 9.1 en Foxit PhantomPDF 9.1

Releasedatum: 19 april 2018

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 9.1 en Foxit PhantomPDF 9.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	9.0.1.1049 en eerder	Windows
Foxit PhantomPDF	9.0.1.1049, 9.0.0.29935, 8.3.5.30351 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het onveilig laden van DLL-bestanden, aangezien de toepassing een onvoldoende gekwalificeerd pad passeert bij het laden van een externe bibliotheek wanneer een gebruiker de toepassing start. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren door een kwaadaardig DLL-bestand in de opgegeven padmap te plaatsen.	Ye Yint Min Thu htut
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een heap-bufferoverloop bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte en bepaalde functieoproepen misbruikte. (CVE-2017-17557/ZDI-CAN-5472/ZDI-CAN-5895/ZDI-CAN-5473).	Steven Seeley (mr_me) van Source Incite willJ van Tencent PC Manager, in samenwerking met Trend Micro's Zero Day Initiative Add van MeePwn, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers vanwege het gebruik van een vrijgegeven object bij het uitvoeren van JavaScript of het aanroepen van bepaalde functies om objecteigenschappen te verkrijgen. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren (CVE-2017-14458/ZDI-CAN-5436/ZDI-CAN-5527/ZDI-CAN-5528/ZDI-CAN-5529/ZDI-CAN-5531/ZDI-CAN-5617/ZDI-CAN-5618/ZDI-CAN-5620/ZDI-CAN-5579/ZDI-CAN-5580/ZDI-CAN-5488/ZDI-CAN-5489/ZDI-CAN-5312/ZDI-CAN-5432/ ZDI-CAN-5433/ZDI-CAN-5434/ZDI-CAN-5435/ZDI-CAN-5568/ZDI-CAN-5491/ZDI-CAN-5379/ZDI-CAN-5382).	Aleksandar Nikolic van Cisco Talos Steven Seeley (mr_me) van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative bit van meepwn team, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het vrijgeven van informatie door niet-geïnitialiseerd(e) geheugen/aanwijzer of het uitvoeren van externe programmeercode vanwege het gebruik van niet-geïnitialiseerde nieuwe Uint32Array-object- of lidvariabelen in PrintParams of m_pCurContex-objecten (ZDI-CAN-5437/ZDI-CAN-5438/CVE-2018-3842/ZDI-CAN-5380).	Steven Seeley van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative Aleksandar Nikolic van Cisco Talos bit van meepwn team, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lees-/schrijfbewerkingen buiten de grenswaarden bij de uitvoering van externe programmeercode of het vrijgeven van informatie. Hierdoor kon de toepassing crashen vanwege een onjuiste geheugentoewijzing, geheugenvastlegging, geheugentoegang of matrixtoegang (ZDI-CAN-5442/ZDI-CAN-5490/ZDI-CAN-5413/ZDI-CAN-5754/ZDI-CAN-5755/ZDI-CAN-5758).	Phil Blankenship van Cerberus Security, in samenwerking met Trend Micro's Zero Day Initiative Steven Seeley van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative Sudhakar Verma en Ashfaq Ansari - Project Srishti, in samenwerking met Trend Micro's Zero Day Initiative soiax, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan beveiligingsproblemen met typeverwarring bij het uitvoeren van externe programmeercode, waardoor de toepassing crashte. Dit treedt op bij het uitvoeren van bepaalde XFA-functies in vervaardigde PDF-bestanden, aangezien de toepassing een niet-CXFA_Object in een CXFA_Object kan transformeren zonder het gegevenstype te beoordelen en het afwijkende CXFA_Object kan gebruiken om rechtstreeks het lay-outobject op te halen (ZDI-CAN-5370/ZDI-CAN-5371/ZDI-CAN-5372/ZDI-CAN-5373/ ZDI-CAN-5374/ZDI-CAN-5375/ZDI-CAN-5376/ZDI-CAN-5377).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het vrijgeven van informatie met niet-toegewezen aanwijzers of het uitvoeren van externe programmeercode. Hierdoor crashte de toepassing, aangezien deze pagina's kon blijven doorkruisen nadat het document was gesloten of bepaalde objecten herhaaldelijk kon vrijgeven (ZDI-CAN-5471/ZDI-CAN-5414/CVE-2018-3853).	willJ van Tencent PC Manager, in samenwerking met Trend Micro's Zero Day Initiative Sudhakar Verma en Ashfaq Ansari - Project Srishti, in samenwerking met Trend Micro's Zero Day Initiative Aleksandar Nikolic van Cisco Talos
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode of het vrijgeven van informatie door het misbruiken van GoToE- en GoToR-acties om willekeurige uitvoerbare toepassingen op een doelsysteem te openen of uit te voeren.	Assaf Baharav van Threat Response Research Team
Heeft mogelijke problemen verholpen waarbij de toepassing tijdens het uitschakelen van de Veilige leesmodus kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij de vrijgave van informatie door het misbruiken van de functie _JP2_Codestream_Read_SOT (ZDI-CAN-5549).	soiax, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers vanwege het gebruik van een object dat was gesloten of verwijderd (ZDI-CAN-5569/ZDI-CAN-5570/ZDI-CAN-5571/ZDI-CAN-5572/CVE-2018-3850/ZDI-CAN-5762/CVE-2018-10303/CVE-2018-10302).	Steven Seeley (mr_me) van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative Aleksandar Nikolic van Cisco Talos Steven Seeley van Source Incite, in samenwerking met iDefense Labs
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring bij het parseren van bestanden met bijbehorende bestandsaantekeningen als gevolg van het ongedaan maken van de referentie van een object van een ongeldig type, wat kon leiden tot de openbaarmaking van gevoelig geheugen of het uitvoeren van willekeurige programmeercode (CVE-2018-3843).	Aleksandar Nikolic van Cisco Talos
Heeft een mogelijk probleem verholpen waarbij de toepassing kon crashen bij het openen van een PDF in een browser vanuit Microsoft Word, doordat de toepassing een COM-object onjuist verwerkte.	Anurudh
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van willekeurige toepassingen, doordat gebruikers vanuit de toepassing uitvoerbare bestanden konden insluiten in een PDF-portfolio (FG-VD-18-029).	Chris Navarrete van Fortinet's FortiGuard Labs
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lees-/schrijf-/toegangsbewerkingen buiten de grenswaarden van U3D-bestanden, wat had kunnen leiden tot de openbaarmaking van informatie of het uitvoeren van externe programmeercode (ZDI-CAN-5425/ZDI-CAN-5428/ ZDI-CAN-5429/ZDI-CAN-5430/ZDI-CAN-5483/ZDI-CAN-5494/ZDI-CAN-5495/ZDI-CAN-5393/ZDI-CAN-5394/ZDI-CAN-5395/ZDI-CAN-5396/ZDI-CAN-5397/ZDI-CAN-5399/ ZDI-CAN-5401/ZDI-CAN-5408/ZDI-CAN-5409/ZDI-CAN-5410/ZDI-CAN-5412/ZDI-CAN-5418/ZDI-CAN-5419/ZDI-CAN-5421/ZDI-CAN-5422/ZDI-CAN-5423/ZDI-CAN-5424/ CVE-2018-5675/CVE-2018-5677/CVE-2018-5679/CVE-2018-5680/ZDI-CAN-5392/ZDI-CAN-5426).	kdot, in samenwerking met Trend Micro's Zero Day Initiative Dmitri Kaslov, in samenwerking met Trend Micro's Zero Day Initiative Steven Seeley (mr_me) van Source Incite
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers van U3D-bestanden, wat had kunnen leiden tot het uitvoeren van externe programmeercode (ZDI-CAN-5427).	kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-geïnitialiseerde aanwijzers van U3D-bestanden, wat had kunnen leiden tot het uitvoeren van externe programmeercode (ZDI-CAN-5431/ZDI-CAN-5411).	Dmitri Kaslov, in samenwerking met Trend Micro's Zero Day Initiative kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een heap-bufferoverloop of met een op stack gebaseerde bufferoverloop van U3D-bestanden, wat had kunnen leiden tot het uitvoeren van externe programmeercode (ZDI-CAN-5493/ZDI-CAN-5420/ CVE-2018-5674/CVE-2018-5676/CVE-2018-5678).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative kdot, in samenwerking met Trend Micro's Zero Day Initiative Steven Seeley (mr_me) van Source Incite
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring bij U3D-bestanden, wat had kunnen leiden tot het uitvoeren van externe programmeercode (ZDI-CAN-5586/CVE-2018-7407).	Dmitri Kaslov, in samenwerking met Trend Micro's Zero Day Initiative Steven Seeley (mr_me) van Source Incite
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het parseren van matrixindexering bij U3D-bestanden, wat had kunnen leiden tot het uitvoeren van externe programmeercode (CVE-2018-7406).	Steven Seeley (mr_me) van Source Incite
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lees-/schrijf-/toegangsbewerkingen buiten de grenswaarden van U3D-bestanden, wat had kunnen leiden tot de openbaarmaking van informatie of het uitvoeren van externe programmeercode (ZDI-CAN-5425/ZDI-CAN-5428/ ZDI-CAN-5429/ZDI-CAN-5430/ZDI-CAN-5483/ZDI-CAN-5494/ZDI-CAN-5495/ZDI-CAN-5393/ZDI-CAN-5394/ZDI-CAN-5395/ZDI-CAN-5396/ZDI-CAN-5397/ZDI-CAN-5399/ ZDI-CAN-5401/ZDI-CAN-5408/ZDI-CAN-5409/ZDI-CAN-5410/ZDI-CAN-5412/ZDI-CAN-5418/ZDI-CAN-5419/ZDI-CAN-5421/ZDI-CAN-5422/ZDI-CAN-5423/ZDI-CAN-5424/ CVE-2018-5675/CVE-2018-5677/CVE-2018-5679/CVE-2018-5680/ZDI-CAN-5392/ZDI-CAN-5426).	kdot, in samenwerking met Trend Micro's Zero Day Initiative Dmitri Kaslov, in samenwerking met Trend Micro's Zero Day Initiative Steven Seeley (mr_me) van Source Incite
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers van U3D-bestanden, wat had kunnen leiden tot het uitvoeren van externe programmeercode (ZDI-CAN-5427).	kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-geïnitialiseerde aanwijzers van U3D-bestanden, wat had kunnen leiden tot het uitvoeren van externe programmeercode (ZDI-CAN-5431/ZDI-CAN-5411).	Dmitri Kaslov, in samenwerking met Trend Micro's Zero Day Initiative kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een heap-bufferoverloop of met een op stack gebaseerde bufferoverloop van U3D-bestanden, wat had kunnen leiden tot het uitvoeren van externe programmeercode (ZDI-CAN-5493/ZDI-CAN-5420/ CVE-2018-5674/CVE-2018-5676/CVE-2018-5678).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative kdot, in samenwerking met Trend Micro's Zero Day Initiative Steven Seeley (mr_me) van Source Incite
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring bij U3D-bestanden, wat had kunnen leiden tot het uitvoeren van externe programmeercode (ZDI-CAN-5586/CVE-2018-7407).	Dmitri Kaslov, in samenwerking met Trend Micro's Zero Day Initiative Steven Seeley (mr_me) van Source Incite
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het parseren van matrixindexering bij U3D-bestanden, wat had kunnen leiden tot het uitvoeren van externe programmeercode (CVE-2018-7406).	Steven Seeley (mr_me) van Source Incite

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit MobilePDF for Android 6.1

Releasedatum: 8 januari 2018

Platform: Android

Overzicht

Foxit heeft Foxit MobilePDF for Android 6.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit MobilePDF for Android	6.0.2 en eerder	Android

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik hier om de bijgewerkte versie van Foxit MobilePDF for Android te downloaden.

Kwetsbaarheidsdetails

Korte

Met dank aan

Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de leesbewerkingen en openbaarmaking van willekeurige bestanden bij het misbruiken van de URI en het Escape-teken tijdens een overdracht via wifi. Dit treedt op doordat de paden onjuist van een Escape-teken zijn voorzien of gevalideerd wanneer ze in de URI worden verwerkt, waardoor de wifiservice actief blijft, zelfs nadat gebruikers de toepassing hebben gesloten.

Benjamin Watson van VerSprite

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

2017

Beschikbare beveiligingsupdates in Foxit PhantomPDF 8.3.5

Releasedatum: 17 november 2017

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 8.3.5 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	8.3.2.25013 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring bij het uitvoeren van externe programmeercode. Dit treedt op bij het uitvoeren van bepaalde XFA JavaScript-functies in vervaardigde PDF-bestanden, doordat de toepassing een niet-CXFA_Node geforceerd kan transformeren in een CXFA_Node zonder het gegevenstype te beoordelen en de afwijkende CXFA_Node direct kan gebruiken (ZDI-CAN-5015/ ZDI-CAN-5016/ZDI-CAN-5017/ZDI-CAN-5018/ZDI-CAN-5019/ ZDI-CAN-5020/ZDI-CAN-5021/ZDI-CAN-5022/ZDI-CAN-5027/ZDI-CAN-5029/ZDI-CAN-5288).	Steven Seeley (mr_me) van Offensive Security, in samenwerking met Trend Micro's Zero Day Initiative Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring bij het uitvoeren van externe programmeercode. Dit treedt op bij het uitvoeren van bepaalde XFA FormCalc-functies in vervaardigde PDF-bestanden, doordat de toepassing een niet-CXFA_Object geforceerd kan transformeren in een CXFA_Object zonder het gegevenstype te beoordelen en het afwijkende CXFA_Object rechtstreeks kan gebruiken (ZDI-CAN-5072/ZDI-CAN-5073).	Steven Seeley (mr_me) van Offensive Security, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers vanwege het gebruik van een aantekeningsobject dat was vrijgegeven (ZDI-CAN-4979/ZDI-CAN-4980/ZDI-CAN-4981/ZDI-CAN-5023/ZDI-CAN-5024/ZDI-CAN-5025/ZDI-CAN-5026/ZDI-CAN-5028).	Steven Seeley (mr_me) van Offensive Security, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing tijdens de uitschakeling van de Veilige leesmodus kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij de vrijgave van informatie door het misbruiken van de functie _JP2_Codestream_Read_SOT (ZDI-CAN-4982/ZDI-CAN-5013/ZDI-CAN-4976/ZDI-CAN-4977/ZDI-CAN-5012/ ZDI-CAN-5244).	soiax, in samenwerking met Trend Micro's Zero Day Initiative kdot, in samenwerking met Trend Micro's Zero Day Initiative Carlos Garcia Prado, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing tijdens de uitschakeling van de Veilige leesmodus kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie als gevolg van abnormale geheugentoegang door misbruik van de functieaanroep lrt_jp2_decompress_write_stripe om een willekeurig bestand te openen (ZDI-CAN-5014).	kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de leesbewerking buiten de grenswaarden bij het vrijgeven van informatie tijdens het renderen van afbeeldingen door misbruik van de functieaanroep render.image om een lokaal PDF-bestand te openen (ZDI-CAN-5078/ZDI-CAN-5079).	Ashraf Alharbi (Ha5ha5hin) , in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing tijdens de uitschakeling van de Veilige leesmodus kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie door het misbruiken van de functieaanroep GetBitmapWithoutColorKey om een abnormaal PDF-bestand te openen (ZDI-CAN-4978).	kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie als gevolg van een niet-geïnitialiseerde aanwijzer bij het misbruiken van de functieaanroep JP2_Format_Decom om een abnormaal PDF-bestand te openen (ZDI-CAN-5011).	kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers vanwege de inconsistentie van XFA-knooppunten en XML-knooppunten na verwijdering tijdens de gegevensbinding (ZDI-CAN-5091/ZDI-CAN-5092/ZDI-CAN-5289).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen knooppunten door het gebruik van een document nadat dit was vrijgegeven door het JavaScript closeDoc (ZDI-CAN-5094/ZDI-CAN-5282/ZDI- CAN-5294/ZDI-CAN-5295/ZDI-CAN-5296).	Steven Seeley (mr_me) van Offensive Security, in samenwerking met Trend Micro's Zero Day Initiative Steven Seeley van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative bit van meepwn team, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing tijdens het uitvoeren van de enkele-exemplaarmodus kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van willekeurige programmeercode of een Denial of Service-aanval. Hierbij kon het PenInputPanel-component niet worden geïnitialiseerd door het aanroepen van de CoCreateInstance-functie wanneer gebruikers een PDF-bestand openden door er na het starten van de toepassing op te dubbelklikken (CVE-2017-14694).	Lin Wang, Beihang University, China
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een bufferoverloop bij het openen van een bepaald EPUB-bestand vanwege de ongeldige lengte van size_file_name in CDRecord in de ZIP-compressiegegevens.	Phil Blankenship van Cerberus Security
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring van externe programmeercode bij het openen van bepaalde XFA-bestanden vanwege het gebruik van discrepante gegevensobjecten tijdens de gegevensbinding (ZDI-CAN-5216).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie wanneer de gflags-app was ingeschakeld vanwege het onjuist laden van bronnen, wat kon leiden tot een ongeordend bestandstypefilter (ZDI-CAN-5281).	Steven Seeley van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie vanwege het aanroepen van een onjuiste util.printf-parameter (ZDI-CAN-5290).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit MobilePDF for iOS 6.1

Releasedatum: 12 november 2017

Platform: iOS

Overzicht

Foxit heeft Foxit MobilePDF for iOS 6.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit MobilePDF for iOS	6.0.0 en eerder	iOS

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik hier om de bijgewerkte versie van Foxit MobilePDF for iOS te downloaden

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een Denial of Service-aanval. Dit treedt op wanneer gebruikers via wifi een bestand uploaden dat een hexadecimaal Unicode-teken bevat in de parameter 'filename', omdat de toepassing een dergelijke bestandsnaam mogelijk niet kan parseren.	Antonio Zekić van INFIGO IS d.o.o.
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de doorkruising van mappen door het misbruiken van de URL en het Escape-teken tijdens een overdracht via wifi. Dit probleem had door aanvallers kunnen worden misbruikt om de lokale toepassingsbestanden op kwaadaardige wijze te manipuleren.	Antonio Zekić van INFIGO IS d.o.o.

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader 9.0 en Foxit PhantomPDF 9.0

Releasedatum: 1 november 2017

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 9.0 en Foxit PhantomPDF 9.0 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	8.3.2.25013 en eerder	Windows
Foxit PhantomPDF	8.3.2.25013 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring bij het uitvoeren van externe programmeercode. Dit treedt op bij het uitvoeren van bepaalde XFA JavaScript-functies in vervaardigde PDF-bestanden, doordat de toepassing een niet-CXFA_Node geforceerd kan transformeren in een CXFA_Node zonder het gegevenstype te beoordelen en de afwijkende CXFA_Node direct kan gebruiken (ZDI-CAN-5015/ ZDI-CAN-5016/ZDI-CAN-5017/ZDI-CAN-5018/ZDI-CAN-5019/ ZDI-CAN-5020/ZDI-CAN-5021/ZDI-CAN-5022/ZDI-CAN-5027/ZDI-CAN-5029/ZDI-CAN-5288).	Steven Seeley (mr_me) van Offensive Security, in samenwerking met Trend Micro's Zero Day Initiative Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring bij het uitvoeren van externe programmeercode. Dit treedt op bij het uitvoeren van bepaalde XFA FormCalc-functies in vervaardigde PDF-bestanden, doordat de toepassing een niet-CXFA_Object geforceerd kan transformeren in een CXFA_Object zonder het gegevenstype te beoordelen en het afwijkende CXFA_Object rechtstreeks kan gebruiken (ZDI-CAN-5072/ZDI-CAN-5073).	Steven Seeley (mr_me) van Offensive Security, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers vanwege het gebruik van een aantekeningsobject dat was vrijgegeven (ZDI-CAN-4979/ZDI-CAN-4980/ZDI-CAN-4981/ZDI-CAN-5023/ZDI-CAN-5024/ZDI-CAN-5025/ZDI-CAN-5026/ZDI-CAN-5028).	Steven Seeley (mr_me) van Offensive Security, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing tijdens de uitschakeling van de Veilige leesmodus kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij de vrijgave van informatie door het misbruiken van de functie _JP2_Codestream_Read_SOT (ZDI-CAN-4982/ZDI-CAN-5013/ZDI-CAN-4976/ZDI-CAN-4977/ZDI-CAN-5012/ ZDI-CAN-5244).	soiax, in samenwerking met Trend Micro's Zero Day Initiative kdot, in samenwerking met Trend Micro's Zero Day Initiative Carlos Garcia Prado, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing tijdens de uitschakeling van de Veilige leesmodus kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie als gevolg van abnormale geheugentoegang door misbruik van de functieaanroep lrt_jp2_decompress_write_stripe om een willekeurig bestand te openen (ZDI-CAN-5014).	kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de leesbewerking buiten de grenswaarden bij het vrijgeven van informatie tijdens het renderen van afbeeldingen door misbruik van de functieaanroep render.image om een lokaal PDF-bestand te openen (ZDI-CAN-5078/ZDI-CAN-5079).	Ashraf Alharbi (Ha5ha5hin) , in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing tijdens de uitschakeling van de Veilige leesmodus kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie door het misbruiken van de functieaanroep GetBitmapWithoutColorKey om een abnormaal PDF-bestand te openen (ZDI-CAN-4978).	kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie als gevolg van een niet-geïnitialiseerde aanwijzer bij het misbruiken van de functieaanroep JP2_Format_Decom om een abnormaal PDF-bestand te openen (ZDI-CAN-5011).	kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers vanwege de inconsistentie van XFA-knooppunten en XML-knooppunten na verwijdering tijdens de gegevensbinding (ZDI-CAN-5091/ZDI-CAN-5092/ZDI-CAN-5289).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen knooppunten door het gebruik van een document nadat dit was vrijgegeven door het JavaScript closeDoc (ZDI-CAN-5094/ZDI-CAN-5282/ZDI- CAN-5294/ZDI-CAN-5295/ZDI-CAN-5296).	Steven Seeley (mr_me) van Offensive Security, in samenwerking met Trend Micro's Zero Day Initiative Steven Seeley van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative bit van meepwn team, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing tijdens het uitvoeren van de enkele-exemplaarmodus kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van willekeurige programmeercode of een Denial of Service-aanval. Hierbij kon het PenInputPanel-component niet worden geïnitialiseerd door het aanroepen van de CoCreateInstance-functie wanneer gebruikers een PDF-bestand openden door er na het starten van de toepassing op te dubbelklikken (CVE-2017-14694).	Lin Wang, Beihang University, China
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een bufferoverloop bij het openen van een bepaald EPUB-bestand vanwege de ongeldige lengte van size_file_name in CDRecord in de ZIP-compressiegegevens.	Phil Blankenship van Cerberus Security
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring van externe programmeercode bij het openen van bepaalde XFA-bestanden vanwege het gebruik van discrepante gegevensobjecten tijdens de gegevensbinding (ZDI-CAN-5216).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie wanneer de gflags-app was ingeschakeld vanwege het onjuist laden van bronnen, wat kon leiden tot een ongeordend bestandstypefilter (ZDI-CAN-5281).	Steven Seeley van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie vanwege het aanroepen van een onjuiste util.printf-parameter (ZDI-CAN-5290).	Anonymous, in samenwerking met Trend Micro's Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PhantomPDF 7.3.17

Releasedatum: 11 september 2017

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 7.3.17 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	7.3.15.712 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Een mogelijk probleem is opgelost waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met opdrachtinjectie door misbruik van de app.launchURL JavaScript-aanroep om een lokaal programma uit te voeren wanneer de toepassing niet in de veilige leesmodus wordt uitgevoerd.	Ariele Caltabiano (kimiya) , in samenwerking met Trend Micro's Zero Day Initiative
Een mogelijk probleem is opgelost waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met willekeurige schrijfbewerkingen door misbruik van de functieaanroep this.saveAs om een bestand naar het lokale bestandssysteem te slepen wanneer de toepassing niet in de veilige leesmodus wordt uitgevoerd.	Steven Seeley (mr_me) van Offensive Security, in samenwerking met Trend Micro's Zero Day Initiative
Een mogelijk probleem is opgelost waarbij de toepassing kan worden blootgesteld aan een beveiligingsprobleem met willekeurige schrijfbewerkingen door misbruik van de createDataObject-functieaanroep om een willekeurig uitvoerbaar bestand in het lokale bestandssysteem te maken wanneer de toepassing niet in veilige leesmodus wordt uitgevoerd.	Steven Seeley (mr_me) Chris Evans / scarybeasts
Een mogelijk probleem is opgelost waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met opdrachtinjectie door misbruik van de xfa.host.gotoURL-functieaanroep om een willekeurig uitvoerbaar bestand te openen wanneer de toepassing niet in de veilige leesmodus wordt uitgevoerd.	Steven Seeley (mr_me) van Offensive Security , in samenwerking met Trend Micro's Zero Day Initiative Alexander Inführ

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader 8.3.2 en Foxit PhantomPDF 8.3.2

Releasedatum: 26 augustus 2017

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 8.3.2 en Foxit PhantomPDF 8.3.2 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	8.3.1.21155 en eerder	Windows
Foxit PhantomPDF	8.3.1.21155 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Een mogelijk probleem is opgelost waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met opdrachtinjectie door misbruik van de app.launchURL JavaScript-aanroep om een lokaal programma uit te voeren wanneer de toepassing niet in de veilige leesmodus wordt uitgevoerd.	Ariele Caltabiano(kimiya) , in samenwerking met Trend Micro's Zero Day Initiative
Een mogelijk probleem is opgelost waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met willekeurige schrijfbewerkingen door misbruik van de functieaanroep this.saveAs om een bestand naar het lokale bestandssysteem te slepen wanneer de toepassing niet in de veilige leesmodus wordt uitgevoerd.	Steven Seeley (mr_me) van Offensive Security, in samenwerking met Trend Micro's Zero Day Initiative
Een mogelijk probleem is opgelost waarbij de toepassing kan worden blootgesteld aan een beveiligingsprobleem met willekeurige schrijfbewerkingen door misbruik van de createDataObject-functieaanroep om een willekeurig uitvoerbaar bestand in het lokale bestandssysteem te maken wanneer de toepassing niet in veilige leesmodus wordt uitgevoerd.	Steven Seeley (mr_me) Chris Evans / scarybeasts
Een mogelijk probleem is opgelost waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met opdrachtinjectie door misbruik van de xfa.host.gotoURL-functieaanroep om een willekeurig uitvoerbaar bestand te openen wanneer de toepassing niet in de veilige leesmodus wordt uitgevoerd.	Steven Seeley (mr_me) van Offensive Security, in samenwerking met Trend Micro's Zero Day Initiative Alexander Inführ

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Compressor 7.7.2.23

Releasedatum: 26 juli 2017

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Compressor 7.7.2.23 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden opgelost.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Compressor	Van 7.0.0.183 t/m 7.7.2.10	Windows

Oplossing

U hoeft verder niets te doen als u de toepassing veilig hebt geïnstalleerd. Klik hier voor de nieuwste versie van Foxit PDF Compressor.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij het installatiepakket van de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het vooraf laden van DLL-bestanden. Dit probleem had door aanvallers kunnen worden misbruikt om tijdens het installatieproces externe programmeercode uit te voeren.	Kushal Arvind Shah van Fortinet's FortiGuard Labs

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PhantomPDF 7.3.15

Releasedatum: 20 juli 2017

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 7.3.15 uitgebracht, waarmee mogelijke beveiligingsproblemen worden aangepakt die een aanvaller in staat kunnen stellen om externe programmeercode uit te voeren.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	7.3.13.421 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het lezen van null-aanwijzers of het ongedaan maken van referenties van null-aanwijzers, wat had kunnen leiden tot een onverwachte crash.	Dmitri Kaslov
Heeft mogelijke problemen verholpen waarbij de toepassing nog steeds JavaScript-functies kon uitvoeren, zelfs wanneer JavaScript-acties in Trust Manager waren uitgeschakeld.	Alexander Inführ
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren.	Steven Seeley (mr_me) van Offensive Security, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden, wat had kunnen leiden tot de openbaarmaking van informatie.	Ashfaq Ansari - Project Srishti , in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met willekeurige schrijfbewerkingen. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren.	Ashfaq Ansari - Project Srishti
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de gebruiken-vóór-initialisatie, wat had kunnen leiden tot een onverwachte crash.	Jean-Marc Le Blanc

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader 8.3.1 en Foxit PhantomPDF 8.3.1

Releasedatum: 4 juli 2017

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 8.3.1 en Foxit PhantomPDF 8.3.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	8.3.0.14878 en eerder	Windows
Foxit PhantomPDF	8.3.0.14878 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden. Als u al een PhantomPDF 8-licentie hebt, kunt u gratis bijwerken naar PhantomPDF 8.3.1.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het lezen van null-aanwijzers of het ongedaan maken van referenties van null-aanwijzers, wat had kunnen leiden tot een onverwachte crash.	Dmitri Kaslov
Heeft mogelijke problemen verholpen waarbij de toepassing nog steeds JavaScript-functies kon uitvoeren, zelfs wanneer JavaScript-acties in Trust Manager waren uitgeschakeld.	Alexander Inführ
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren.	Steven Seeley (mr_me) van Offensive Security, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden, wat had kunnen leiden tot de openbaarmaking van informatie.	Ashfaq Ansari - Project Srishti , in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met willekeurige schrijfbewerkingen. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren.	Ashfaq Ansari - Project Srishti
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de gebruiken-vóór-initialisatie, wat had kunnen leiden tot een onverwachte crash.	Jean-Marc Le Blanc

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PhantomPDF 7.3.13

Releasedatum: 4 mei 2017

Platform: Windows

Overzicht

Foxit heeft Foxit PhantomPDF 7.3.13 uitgebracht, waarmee mogelijke beveiligingsproblemen worden aangepakt die een aanvaller in staat kunnen stellen om externe programmeercode uit te voeren.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PhantomPDF	7.3.11.1122 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers. Dit probleem had door aanvallers kunnen worden misbruikt om in de context van het huidige proces externe programmeercode uit te voeren.	NSFOCUS Security Team SkyLined en Soiax, in samenwerking met Trend Micro's Zero Day Initiative Steven Seeley (mr_me) van Offensive Security, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring. Dit probleem had door aanvallers kunnen worden misbruikt om in de context van het huidige proces externe programmeercode uit te voeren.	NSFOCUS Security Team
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden, wat had kunnen leiden tot de openbaarmaking van informatie of de uitvoering van externe programmeercode.	Ke Liu van Tencent's Xuanwu LAB, in samenwerking met Trend Micro's Zero Day Initiative Ashfaq Ansari - Project Srishti, in samenwerking met Trend Micro's Zero Day Initiative SkyLined en Soiax, in samenwerking met Trend Micro's Zero Day Initiative lightseeker, in samenwerking met Trend Micro's Zero Day Initiative Anonymous1, in samenwerking met Trend Micro's Zero Day Initiative Toan Pham Van, in samenwerking met Trend Micro's Zero Day Initiative kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het ongedaan maken van referenties van null-aanwijzers bij het openen van een vervaardigd PDF-bestand, waardoor de toepassing onverwacht kon crashen.	riusksk van Tencent Security Platform Department
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de beschadiging van het geheugen. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren.	Toan Pham Van, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijf-/leesbewerkingen buiten de grenswaarden bij het parseren van JPEG2000-bestanden. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren of informatie te lekken.	kdot, in samenwerking met Trend Micro's Zero Day Initiative Gogil van STEALIEN, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren.	Steven Seeley van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het parseren van lettertypen, wat had kunnen leiden tot de openbaarmaking van informatie.	kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden of de beschadiging van geheugen bij het converteren van JPEG- of TIFF-bestanden naar PDF's. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren of informatie te lekken.	Ke Liu van Tencent's Xuanwu LAB, in samenwerking met Trend Micro's Zero Day Initiative Juan Pablo Lopez Yacubian, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren.	Steven Seeley (mr_me) van Offensive Security, in samenwerking met Trend Micro's Zero Day Initiative Dmitri Kaslov
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden bij het parseren van JPEG2000-bestanden, wat had kunnen leiden tot het uitvoeren van externe programmeercode.	Toan Pham Van, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met null-aanwijzers, wat had kunnen leiden tot een onverwachte crash.	Dmitri Kaslov (PwC za-labs)

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader 8.3 en Foxit PhantomPDF 8.3

Releasedatum: 18 april 2017

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 8.3 en Foxit PhantomPDF 8.3 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	8.2.1.6871 en eerder	Windows
Foxit PhantomPDF	8.2.1.6871 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden. Als u al een PhantomPDF 8-licentie hebt, kunt u gratis bijwerken naar PhantomPDF 8.3.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren.	Steven Seeley (mr_me) van Offensive Security, in samenwerking met Trend Micro's Zero Day Initiative Dmitri Kaslov
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijfbewerkingen buiten de grenswaarden bij het parseren van JPEG2000-bestanden, wat had kunnen leiden tot het uitvoeren van externe programmeercode.	Toan Pham Van, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met null-aanwijzers, wat had kunnen leiden tot een onverwachte crash.	Dmitri Kaslov (PwC za-labs)

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Toolkit 2.1

Releasedatum: 6 april 2017

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Toolkit 2.1 uitgebracht, waarmee een mogelijk beveiligingsprobleem wordt aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Toolkit	2.0	Windows

Oplossing

Werk Foxit PDF Toolkit bij naar de nieuwste versie door hier te klikken om deze van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de beschadiging van het geheugen. Dit probleem had door aanvallers kunnen worden misbruikt om willekeurige programmeercode uit te voeren (CVE-2017-7584).	Kushal Arvind Shah van Fortinet's FortiGuard Labs

Beschikbare beveiligingsupdates in Foxit Reader 8.2.1 en Foxit PhantomPDF 8.2.1

Releasedatum: 1 maart 2017

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 8.2.1 en Foxit PhantomPDF 8.2.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	8.2.0.2051 en eerder	Windows
Foxit PhantomPDF	8.2.0.2192 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden. Als u al een PhantomPDF 8-licentie hebt, kunt u gratis bijwerken naar PhantomPDF 8.2.1.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers. Dit probleem had door aanvallers kunnen worden misbruikt om in de context van het huidige proces externe programmeercode uit te voeren.	NSFOCUS Security Team SkyLined en Soiax, in samenwerking met Trend Micro's Zero Day Initiative Steven Seeley (mr_me) van Offensive Security, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met typeverwarring. Dit probleem had door aanvallers kunnen worden misbruikt om in de context van het huidige proces externe programmeercode uit te voeren.	NSFOCUS Security Team
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden, wat had kunnen leiden tot de openbaarmaking van informatie of de uitvoering van externe programmeercode.	Ke Liu van Tencent's Xuanwu LAB, in samenwerking met Trend Micro's Zero Day Initiative Ashfaq Ansari - Project Srishti, in samenwerking met Trend Micro's Zero Day Initiative SkyLined en Soiax, in samenwerking met Trend Micro's Zero Day Initiative lightseeker, in samenwerking met Trend Micro's Zero Day Initiative Anonymous1, in samenwerking met Trend Micro's Zero Day Initiative Toan Pham Van, in samenwerking met Trend Micro's Zero Day Initiative kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het ongedaan maken van referenties van null-aanwijzers bij het openen van een vervaardigd PDF-bestand, waardoor de toepassing onverwacht kon crashen.	riusksk van Tencent Security Platform Department
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de beschadiging van het geheugen. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren.	Toan Pham Van, in samenwerking met Trend Micro's Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader 8.2 en Foxit PhantomPDF 8.2

Releasedatum: 10 januari 2017

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 8.2 en Foxit PhantomPDF 8.2 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	8.1.4.1208 en eerder	Windows
Foxit PhantomPDF	8.1.1.1115 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden. Als u al een PhantomPDF 8-licentie hebt, kunt u gratis bijwerken naar PhantomPDF 8.2.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met schrijf-/leesbewerkingen buiten de grenswaarden bij het parseren van JPEG2000-bestanden. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren of informatie te lekken.	kdot, in samenwerking met Trend Micro's Zero Day Initiative Gogil van STEALIEN, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren.	Steven Seeley van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het parseren van lettertypen, wat had kunnen leiden tot de openbaarmaking van informatie.	kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden of de beschadiging van geheugen bij het converteren van JPEG- of TIFF-bestanden naar PDF's. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren of informatie te lekken.	Ke Liu van Tencent's Xuanwu LAB, in samenwerking met Trend Micro's Zero Day Initiative Juan Pablo Lopez Yacubian, in samenwerking met Trend Micro's Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdate in Foxit Reader for Linux 2.3

Releasedatum: 10 januari 2017

Platform: Linux

Overzicht

Foxit heeft Foxit Reader for Linux 2.3 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	2.2.1025 en eerder	Linux

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader op 'Nu controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met stackoverloop. Dit probleem had door aanvallers kunnen worden misbruikt om een gecontroleerde crash uit te voeren.	Dmitri Kaslov

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit PDF Toolkit 2.0

Releasedatum: 10 januari 2017

Platform: Windows

Overzicht

Foxit heeft Foxit PDF Toolkit 2.0 uitgebracht, waarmee een mogelijk beveiligingsprobleem wordt aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit PDF Toolkit	1.3	Windows

Oplossing

Werk Foxit PDF Toolkit bij naar de nieuwste versie door hier te klikken om deze van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de beschadiging van het geheugen bij het parseren van PDF-bestanden, wat had kunnen leiden tot het uitvoeren van externe programmeercode (CVE-2017-5364).	Kushal Arvind Shah van Fortinet's FortiGuard Labs

2016

Beschikbare beveiligingsupdates in Foxit Reader 8.1.1 en Foxit PhantomPDF 8.1.1

Releasedatum: 17 november 2016

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 8.1.1 en Foxit PhantomPDF 8.1.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	8.1.0.1013 en eerder	Windows
Foxit PhantomPDF	8.1.0.1013 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het parseren van JPEG2000-bestanden, wat had kunnen leiden tot de openbaarmaking van informatie.	Gogil van STEALIEN, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers bij het parseren van JPEG2000-bestanden. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren.	Gogil van STEALIEN, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een op heap gebaseerde bufferoverloop bij het parseren van JPEG2000-bestanden. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren.	Gogil van STEALIEN, in samenwerking met Trend Micro's Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader 8.1 en Foxit PhantomPDF 8.1

Releasedatum: 18 oktober 2016

Platform: Windows

Overzicht

Foxit heeft Foxit Reader 8.1 en Foxit PhantomPDF 8.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	8.0.5 en eerder	Windows
Foxit PhantomPDF	8.0.5 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op '(Nu) controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met heapbeschadiging. Dit probleem had door aanvallers kunnen worden misbruikt om willekeurige programmeercode uit te voeren.	Dmitri Kaslov Ke Liu van Tencent’s Xuanwu LAB
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers. Dit probleem had door aanvallers kunnen worden misbruikt om willekeurige programmeercode uit te voeren.	Dmitri Kaslov Steven Seeley van Source Incite Rocco Calvi
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lees- of schrijfbewerkingen buiten de grenswaarden, wat had kunnen leiden tot de openbaarmaking van informatie of de uitvoering van externe programmeercode.	Ke Liu van Tencent’s Xuanwu LAB Rocco Calvi kdot, in samenwerking met Trend Micro's Zero Day Initiative Soiax, in samenwerking met Trend Micro's Zero Day Initiative Dmitri Kaslov Steven Seeley van Source Incite, in samenwerking met Trend Micro's Zero Day SkyLined en Soiax, in samenwerking met Trend Micro's Zero Day Initiative Aleksandar Nikolic van Cisco Talos
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het ongedaan maken van referenties van null-aanwijzers, waardoor de toepassing onverwacht kon crashen.	Dmitri Kaslov
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een heap-bufferoverloop, wat had kunnen leiden tot het uitvoeren van externe programmeercode.	kdot, in samenwerking met Trend Micro's Zero Day Initiative Ke Liu van Tencent’s Xuanwu LAB SkyLined en Soiax, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de overloop bij gehele getallen, wat had kunnen leiden tot het uitvoeren van externe programmeercode.	kdot, in samenwerking met Trend Micro's Zero Day Initiative

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdate in Foxit Reader for Mac en Linux 2.2

Releasedatum: 18 oktober 2016

Platform: Mac OS X/Linux

Overzicht

Foxit heeft Foxit Reader for Mac and Linux 2.2 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	2.1.0.0805 en eerder	Linux
Foxit Reader	2.1.0.0804 en eerder	Mac OS X

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader op 'Nu controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de escalatie van lokale bevoegdheden vanwege zwakke bestandsmachtigingen. Dit probleem had door aanvallers kunnen worden misbruikt om willekeurige programmeercode uit te voeren (CVE-2016-8856).	c0dist (Garage4Hackers)

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader for Windows 8.0.2, Foxit Reader for Mac/Linux 2.1 en Foxit PhantomPDF 8.0.2

Releasedatum: 8 augustus 2016

Platform: Windows, Mac OS X, Linux

Overzicht

Foxit heeft Foxit Reader for Windows 8.0.2, Foxit Reader for Mac/Linux 2.1 en Foxit PhantomPDF 8.0.2 uitgebracht, waarmee beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	8.0.0.624 en eerder	Windows
Foxit Reader	2.0.0.0625 en eerder	Mac OS X
Foxit Reader	1.1.1.0602 en eerder	Linux
Foxit PhantomPDF	8.0.1.628 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op '(Nu) controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lees-/schrijfbewerkingen buiten de grenswaarden bij het parseren van TIFF-bestanden. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren of informatie te lekken.	Ke Liu van Tencent’s Xuanwu LAB Steven Seeley van Source Incite 5206560A306A2E085A437FD258EB57CE, in samenwerking met Trend Micro's Zero Day Initiative Steven Seeley van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met niet-toegewezen aanwijzers bij het parseren van misvormde FlateDecode-stromen. Dit probleem had door aanvallers kunnen worden misbruikt om gevoelige informatie te lekken of externe programmeercode uit te voeren.	Rocco Calvi en Steven Seeley van Source Incite
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lees-/schrijfbewerkingen buiten de grenswaarden bij het parseren van JPEG2000-bestanden. Dit probleem had door aanvallers kunnen worden misbruikt om externe programmeercode uit te voeren of informatie te lekken.	kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de beschadiging van het geheugen bij het parseren van JPEG2000-bestanden, wat had kunnen leiden tot het uitvoeren van externe programmeercode.	Ke Liu van Tencent’s Xuanwu LAB
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de kaping van DLL-bestanden. Dit probleem had door een niet-geverifieerde, externe aanvaller kunnen worden misbruikt om willekeurige programmeercode uit te voeren op het beoogde systeem.	Himanshu Mehta
Heeft mogelijke problemen verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met lees-/schrijfbewerkingen buiten de grenswaarden voor JPXDecode bij het verwerken van speciaal vervaardigde PDF-bestanden met misvormde JPXDecode-stromen, wat had kunnen leiden tot informatielekken of het uitvoeren van externe programmeercode (CVE-2016-6867).	Steven Seeley van Source Incite Kai Lu van Fortinet's FortiGuard Labs
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden bij het verwerken van speciaal vervaardigde BMP-bestanden, wat had kunnen leiden tot het lekken van informatie.	Steven Seeley van Source Incite 5206560A306A2E085A437FD258EB57CE, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan beveiligingsproblemen met de beschadiging van het geheugen, waardoor de toepassing onverwacht kon crashen (CVE-2016-6868).	Marco Grassi (@marcograss) van KeenLab (@keen_lab), Tencent Kai Lu van Fortinet's FortiGuard Labs

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdates in Foxit Reader en Foxit PhantomPDF 8.0

Releasedatum: 27 juni 2016

Platform: Windows

Overzicht

Foxit heeft Foxit Reader en Foxit PhantomPDF 8.0 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	7.3.4.311 en eerder	Windows
Foxit PhantomPDF	7.3.4.311 en eerder	Windows

Oplossing

Werk uw toepassingen bij naar de laatste versies door een van de onderstaande instructies te volgen.

Klik in het tabblad 'Help' van Foxit Reader of Foxit PhantomPDF op 'Controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.
Klik hier om de bijgewerkte versie van Foxit PhantomPDF van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen aanwijzers bij het openen van een XFA-bestand, waarvan de lay-outrichting is ingesteld op 'lr-tb'.	Rocco Calvi
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het uitvoeren van externe programmeercode met niet-toegewezen FlatDecode-aanwijzers bij het parseren van de inline afbeelding in een bepaald PDF-bestand (CVE-2016-6168).	Steven Seeley van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative Kushal Arvind Shah van Fortinet's FortiGuard Labs
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het omzeilen van de Veilige modus bij het vrijgeven van informatie tijdens het verwerken van SWF-inhoud die in een PDF-bestand is ingesloten. Dit probleem had door aanvallers kunnen worden misbruikt om toegang te verkrijgen tot de lokale bestanden of externe bronnen van de gebruiker.	Björn Ruytenberg, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met het omzeilen van exportData-beperkingen bij het uitvoeren van externe programmeercode. Dit probleem had door aanvallers kunnen worden misbruikt om een kwaadaardig bestand uit te voeren.	insertscript, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een ConvertToPDF TIFF-parsering van schrijfbewerkingen buiten de grenswaarden bij het uitvoeren van externe programmeercode wanneer bepaalde TIFF-bestanden werden geconverteerd naar PDF-bestanden.	Steven Seeley van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de JPEG-parsering van leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie tijdens het converteren van een JPEG-bestand met onjuiste EXIF-gegevens naar een PDF-bestand.	AbdulAziz Hariri - Trend Micro Zero Day Initiative, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de JPEG-parsering van leesbewerkingen buiten de grenswaarden bij het vrijgeven van informatie tijdens het parseren van een JPEG-afbeelding met een beschadigde kleurcomponent in een PDF-bestand.	kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een ConvertToPDF GIF-parsering van schrijfbewerkingen buiten de grenswaarden bij het uitvoeren van externe programmeercode wanneer bepaalde GIF-bestanden werden geconverteerd naar PDF-bestanden.	kdot, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een ConvertToPDF BMP-parsering van schrijfbewerkingen buiten de grenswaarden bij het uitvoeren van externe programmeercode wanneer een BMP-bestand werd geconverteerd naar een PDF-bestand.	kdot en anonymous, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met leesbewerkingen buiten de grenswaarden. Dit probleem had door aanvallers kunnen worden misbruikt om in de context van het huidige proces externe programmeercode uit te voeren.	Ke Liu van Tencent’s Xuanwu LAB
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met de heapbufferoverloop bij het uitvoeren van externe programmeercode wanneer speciaal vervaardigde TIFF-bestanden met grote SamplesPerPixel-waarden werden verwerkt.	Steven Seeley van Source Incite
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een stackbufferoverloop bij het uitvoeren van externe programmeercode, wanneer een ongewoon lange GoToR-tekenreeks werd geparseerd.	Abdul-Aziz Hariri van Trend Micro Zero Day Initiative, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing onverwacht kon crashen bij het parseren van een PDF-bestand dat slordige programmeercode in de afbeeldingsbeschrijving bevatte.	Rocco Calvi en Steven Seeley van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met patronen van niet-geïnitialiseerde aanwijzers bij het uitvoeren van externe programmeercode wanneer in bepaalde PDF-bestanden een uitgerekte afbeelding werd verwerkt.	Steven Seeley van Source Incite, in samenwerking met Trend Micro's Zero Day Initiative
Heeft een mogelijk probleem verholpen waarbij de toepassing kon worden blootgesteld aan een beveiligingsprobleem met een heapoverloop bij het parseren van de inhoud van een PDF-bestand met onjuiste Bezier-gegevens (CVE-2016-6169).	Kai Lu van Fortinet's FortiGuard Labs

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].

Beschikbare beveiligingsupdate in Foxit Reader for Linux 1.1.1

Releasedatum: 12 juni 2016

Platform: Linux

Overzicht

Foxit heeft Foxit Reader for Linux 1.1.1 uitgebracht, waarmee mogelijke beveiligings- en stabiliteitsproblemen worden aangepakt.

Betrokken versies

Product	Betrokken versies	Platform
Foxit Reader	1.1.0.0225 en eerder	Linux

Oplossing

Werk uw toepassing bij naar de laatste versie door een van de onderstaande instructies te volgen.

Klik in het menu 'Help' van Foxit Reader op 'Nu controleren op updates' en werk bij naar de nieuwste versie.
Klik hier om de bijgewerkte versie van Foxit Reader van onze website te downloaden.

Kwetsbaarheidsdetails

Korte	Met dank aan
Heeft mogelijke problemen verholpen waarbij de toepassing onverwacht kon crashen vanwege geheugenbeschadiging of ongeldige leesbewerkingen bij het openen van een speciaal vervaardigd PDF-bestand. Dit probleem had door aanvallers kunnen worden misbruikt om een gecontroleerde crash uit te voeren.	Mateusz Jurczyk van Google Project Zero

Voor meer informatie kunt u contact opnemen met het beveiligingsteam van Foxit via [email protected].