В PDF-инструменте Able2Extract Professional от компании Investintech обнаружены две серьезные уязвимости.
Исследователи компании Cisco Talos обнаружили в PDF-инструменте Able2Extract Professional от компании Investintech две серьезные уязвимости, позволяющие злоумышленникам удаленно выполнить код на системе с помощью вредоносных графических файлов.
CVE-2019-5088 и CVE-2019-5089 представляют собой уязвимости повреждения памяти, которые можно проэксплуатировать с помощью особым образом сконфигурированных файлов в формате JPEG или BMP. Эти файлы позволяют записывать данные за пределами выделенной области памяти. Если злоумышленник сможет убедить жертву открыть вредоносные файлы через Able2Extract Professional, он сможет выполнить произвольный код на атакуемой системе.
Специалисты Cisco Talos уведомили Investintech об уязвимостях в начале августа нынешнего года, а исправление было выпущено только 1 ноября.
Able2Extract Professional – кроссплатформенный PDF-инструмент для Windows, Mac и Linux. Инструмент включает в себя PDF-конвертер и редактор, позволяющий создавать безопасные PDF-документы, подписывать и редактировать их, добавлять изображения, проставлять нумерацию Bates, добавлять чистые страницы, аннотации и пр.