发布日期：2009-06-19
更新日期：2009-06-22

受影响系统：

Foxit Foxit Reader 3.0

不受影响系统：

Foxit Foxit Reader 3.0 Build 1817

描述：

---

BUGTRAQ  ID: 35442,35443
CVE(CAN) ID: CVE-2009-0690,CVE-2009-0691

Foxit Reader是一款小型的PDF文档查看器和打印程序。

Foxit Reader在处理JPX（JPEG2000）流时存在内存破坏漏洞。如果恶意的JPEG2000流中设置了负数的流偏移，就会越界读取数据；此外在解码JPEG2000头时的错误还会导致无效的地址访问。

Foxit Reader默认无法解码JPEG2000数据，必须安装了JPEG2000/JBIG解码器附加组件才会受漏洞影响。当Foxit Reader遇到包含有JPEG2000或JBIG数据的PDF文档时，会自动提示用户安装附加组件。

<*来源：Will Dormann
  
  链接：http://www.kb.cert.org/vuls/id/251793
        http://www.foxitsoftware.com/pdf/reader/security.htm#0602
        http://secunia.com/advisories/35512/
*>

建议：

---

临时解决方法：

* 在Foxit Reader中禁用JavaScript。
* 禁止Internet Explorer自动打开PDF文档。

厂商补丁：

Foxit
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://mirrors.foxitsoftware.com/pub/foxit/reader/desktop/win/addon/ImageDecoder_2.0.2009.616.fzip

浏览次数：2706
严重程度：0（网友投票）