福昕十分重視安全問題并快速處理與福昕產(chǎn)品相關(guān)的安全問題。為了向用戶提供優(yōu)質(zhì)的服務(wù),請將潛在安全問題報告至 security-ml@foxitsoftware.com
點擊此處 查看福昕安全公告。
點擊此處 報告安全問題。
2021年09月28日
針對8月26日至9月1日,國家信息安全漏洞共享平臺(CNVD)收錄多個福昕Foxit PDF閱讀軟件釋放后重用漏洞的問題,福建福昕軟件已于2021年9月2日進行了修復(fù)、更新,并發(fā)布了福昕高級PDF編輯器10.1.5及11.0.1新版本。
福昕高級PDF編輯器網(wǎng)頁版不存在相關(guān)問題,可照常使用。
請下載了福昕高級PDF編輯器10.1.4.37651及之前版本的用戶及時進行更新。
更新方法如下:
①?? 選擇福昕高級PDF編輯器“幫助”菜單中的“檢查更新”更新至相應(yīng)版本。
②?? 請點擊此處下載最新版福昕高級PDF編輯器。
若有相關(guān)問題,請點擊以下鏈接了解詳細內(nèi)容:
http://yz19.cn/support/security-bulletins.html
?
安全漏洞是指受限制的計算機、組件、應(yīng)用程序或其他聯(lián)機資源無意中留下的不受保護的入口點,這對于任何軟件來說都是不可避免的。
對于福昕而言,定期自查軟件缺陷和安全漏洞問題,并作出快速反應(yīng),始終是產(chǎn)品服務(wù)中優(yōu)先考慮的一項,對存在的所有安全問題,我們都會在網(wǎng)站上公布于眾,同時每天持續(xù)追蹤潛在的安全隱患。
2017年08月22日
漏洞性質(zhì) – 允許未使用“安全閱讀模式”的用戶通過執(zhí)行某些強大的JavaScript函數(shù),帶來潛在安全問題。“安全閱讀模式”在福昕高級PDF編輯器和福昕閱讀器中為默認開啟,但用戶也可在偏好設(shè)置中將其關(guān)閉。?
解決該問題的方案 – 在福昕高級PDF編輯器/福昕閱讀器的代碼中添加一層保護,即打開一個包含強大的(因而具有安全隱患的)JavaScript函數(shù)的PDF文檔時,應(yīng)用程序會檢測該文檔是否由一個可驗證/可信任的個人或?qū)嶓w進行過數(shù)字簽名。只有已驗證的文檔,才可運行這些高級的JS函數(shù),即使“安全閱讀模式”處于關(guān)閉狀態(tài)。
修復(fù)完成的時間 – 我們計劃在8月30日發(fā)布福昕高級PDF編輯器8.3.2中文版補丁包,在9月5日發(fā)布福昕閱讀器8.3.2中文補丁包,通過添加保護層避免黑客濫用強大的(且具有安全隱患的)JavaScript函數(shù) — 福昕軟件與Adobe的做法等同。
受影響的產(chǎn)品和用戶– 該漏洞由某些用戶(潛在黑客)通過濫用強大的(且具有安全隱患的)JavaScript函數(shù)造成。僅那些關(guān)閉了福昕高級PDF編輯器和福昕閱讀器“安全閱讀模式”導(dǎo)致在任一PDF文檔中都可執(zhí)行JavaScript函數(shù)的用戶,會受到此漏洞的影響。使用其他福昕產(chǎn)品的用戶均不受影響。對于所有福昕高級PDF編輯器和福昕閱讀器的用戶,我們建議在驗證文檔來源之前,請禁止執(zhí)行JavaScript函數(shù)。只要用戶繼續(xù)保持開啟“安全閱讀模式”,就不會受到影響。
如何檢查和重新開啟福昕高級PDF編輯器和福昕閱讀器的“安全閱讀模式”
福昕高級PDF編輯器和福昕閱讀器的個人用戶,請到“偏好設(shè)置”>“信任管理器”中進行設(shè)置,如圖所示。
希望通過Windows注冊表配置的用戶,請按下圖所示的注冊表進行設(shè)置。
需要進行批量配置的IT或系統(tǒng)管理員,請使用GPO模板:
下載GPO模板:
Reader:
https://cdn07.foxitsoftware.cn/pub/foxit/GPO/chs/FoxitReader820_chs_adm.zip
https://cdn07.foxitsoftware.cn/pub/foxit/GPO/chs/FoxitReader820_chs_admx.zip
Phantom:
https://cdn07.foxitsoftware.cn/pub/foxit/GPO/chs/FoxitPhantomPDF82_chs_adm.zip
https://cdn07.foxitsoftware.cn/pub/foxit/GPO/chs/FoxitPhantomPDF82_chs_admx.zip
2017年03月15日
福昕閱讀器運行快速、經(jīng)濟實惠,提供安全的方式查看PDF文件,目前已有4.25億用戶。我們鼓勵用戶立即升級使用福昕產(chǎn)品來管理所有PDF文件。您可以訪問福昕官網(wǎng)下載最新版福昕閱讀器。
福昕閱讀器的核心是安全處理引擎,該引擎同時也用于Google Chrome、Google Gmail和Amazon Kindle等平臺,已有數(shù)十億用戶通過這些平臺放心地交換敏感信息。
在黑客和威脅不斷存在的情況下,福昕閱讀器卻足夠安全,可以抵擋任何網(wǎng)絡(luò)安全攻擊。因此,使用正版福昕軟件十分重要。
最近,有部分客戶告知我們,福昕閱讀器被列入“Vault 7:CIA hacking tools revealed”。文章中闡述福昕閱讀器存在以下兩個新的DLL劫持問題:
#1 — 福昕閱讀器嘗試從其插件文件夾(\Foxit Reader\plugins)中查找名為“UpdateLOC.dll”的DLL文件進行自動更新。
我們確認福昕閱讀器插件文件夾(\Foxit Reader\plugins)中沒有“UpdateLOC.dll”文件,因此,福昕閱讀器沒有文章所述劫持問題。
#2 — 在“msimg32.dll”尚未加載到恰當(dāng)位置前,福昕會先嘗試從其相鄰文件夾(\app\Foxit Reader\)加載系統(tǒng)DLL文件“msimg32.dll”。
福昕是直接調(diào)用GetSystemDirectory()來獲取真正的msimg32.dll文件,不會嘗試先行加載其相鄰文件夾(\app\Foxit Reader\)中的系統(tǒng)DLL文件“msimg32.dll”。在加載“msimg32.dll”文件時,福昕使用的是完全限定路徑,因此福昕閱讀器不存在此類劫持問題。
更多關(guān)于“開發(fā)者如何安全加載庫文件”信息,請參閱https://blogs.technet.microsoft.com/srd/2010/08/23/more-information-about-the-dll-preloading-remote-attack-vector/。“上述MSDN文章詳細闡述了一些受影響情況,我們一般建議:在加載庫文件時,盡可能使用完全限定路徑;……”
如有任何問題,請隨時與我們聯(lián)系。郵箱地址:security-ml@foxitsoftware.com。
2016年05月22日
福昕?閱讀器運行快速、經(jīng)濟實惠,提供安全的方式查看PDF文件,目前已有4億以上用戶。我們鼓勵用戶立即升級使用福昕產(chǎn)品來管理所有PDF文件。您可以訪問福昕官網(wǎng)下載最新版福昕閱讀器。
福昕閱讀器的核心是安全處理引擎,該引擎同時也用于Google Chrome、Google Gmail和Amazon Kindle等平臺,已有數(shù)十億用戶通過這些平臺放心地交換敏感信息。
在黑客和威脅不斷存在的情況下,福昕閱讀器卻足夠安全,可以抵擋任何網(wǎng)絡(luò)安全攻擊。因此,使用正版福昕軟件十分重要。
部分福昕客戶認為從福昕合作伙伴網(wǎng)站下載福昕閱讀器更加方便。無論用戶從哪里下載福昕軟件,在彈出用戶賬號控制窗口(圖1)時,請確認軟件已驗證的發(fā)布者為Foxit Software Incorporated,且窗口中含有福昕商標(biāo)。
圖1:用戶賬戶控制彈出窗口,確認福昕閱讀器軟件下載是否真實可靠
如果您已下載福昕閱讀器,但不確定其是否真實可靠,請通過以下方式進行驗證:
雙擊安裝目錄并找到FoxitReader.exe文件
右擊FoxitReader.exe文件并選擇“屬性”
在“FoxitReader.exe屬性”窗口中,選擇“數(shù)字簽名”標(biāo)簽并檢查文件簽名人是否是“Foxit Software Incorporated”(圖2)
圖2:數(shù)字簽名詳細信息彈出窗口,確認福昕閱讀器軟件安裝是否真實可靠
為避免安全隱患,請使用正版福昕軟件。
如有任何問題,請隨時與我們聯(lián)系。郵箱地址:security-ml@foxitsoftware.com。
2011年03月15日
2011年3月15日,Secunia發(fā)布了福昕?閱讀器相關(guān)安全公告(http://secunia.com/advisories/43776/)。該漏洞是由于JavaScript API中使用不安全的“createDataObject()”函數(shù)引起的。攻擊者可以惡意利用該函數(shù),通過特別制作的PDF文件來創(chuàng)建含有特定內(nèi)容的任意文件,從而威脅用戶電腦安全。
為避免遭受危害,福昕閱讀器用戶應(yīng)將程序升級至最新版本并啟用安全閱讀模式。用戶可以在程序中點擊“幫助”>“立即檢查更新”安裝最新版福昕閱讀器。當(dāng)彈出對話框時,點擊底部的“偏好設(shè)置”并啟用自動檢查更新功能。用戶可以在安裝福昕閱讀器過程中啟用安全閱讀模式,也可以在安裝完成后點擊“工具”>“偏好設(shè)置”>“信任管理器”>“開啟安全閱讀模式”來啟用安全閱讀模式。安全閱讀模式可以幫助用戶管理和控制未授權(quán)的操作和數(shù)據(jù)傳輸,包括URL連接、打開外部文件和運行JavaScript函數(shù)等,可以有效阻止惡意文檔攻擊。當(dāng)安全閱讀模式被禁用時,為避免遭受惡意攻擊,用戶僅可打開受信任的PDF文檔。
如有與本公告相關(guān)問題或其他任何問題,請隨時通過電話(0591-38509808)或福昕在線支持系統(tǒng)與我們聯(lián)系。