使用福昕 (Foxit) PDF阅读器的用户要特别注意了，安全研究人员在其中发现了两个严重的0day漏洞，如未将阅读器配置为在安全阅读模式下打开文件，就会让攻击者在目标计算机上执行任意代码。 福昕公司拒绝修复 第一个0day漏洞 (CVE-2017-10951) 是一个命令注入漏洞，由趋势科技ZDI和研究员Ariele Caltabiano发现;第二个漏洞是文件写入问题 (CVE-2017-10952)，由进攻性安全研究员史蒂文·西利发现。 攻击者可以通过向Foxit用户发送特制的PDF文件并诱导他们打开这些漏洞来利用这些漏洞。福昕公司拒绝修复这两个漏洞并注意到“Future Reader＆amp; PhantomPDF默认启用安全读取模式来控制JavaScript的操作，这有效地阻止了未经授权的JavaScript操作的潜在漏洞。” 可通过JavaScript API触发 然而，研究人员认为，构建此类缓解措施并不能完全解决这些漏洞。如果它们不是固定的，只要它们找到绕过安全读取模式的方法就可以被利用。这两个0day漏洞都可以通过Foxit Reader JavaScript API触发。 命令代码注入漏洞（CVE-2017-10951）存在于app.launchURL函数中，由于缺乏正确的身份验证，该函数可以执行攻击者提供的字符串。 文件写入漏洞（CVE-2017-10952）存在于“saveAs”JavaScript函数中，该函数允许攻击者在目标系统上的任何特定位置写入任意文件。 ZDI指出，“Steven通过将HTA文件嵌入到文档中然后调用saveAS将其写入启动文件夹以在启动时执行任意VBScript代码来利用此漏洞。” 修复建议 建议用户启用“安全阅读模式”功能，另外，取消勾选福昕“偏好”目录中的“启用JavaScript动作”选项，但这样做可能会影响某些功能的使用。用户在打开由邮件收到的文件时要保持警惕。最近研究人员发现，打开恶意PPT文件只会感染用户的计算机。因此，请注意网络钓鱼电子邮件，垃圾邮件和恶意附件。 本文由Security编写，作者：360代码卫士 原文链接：http://thehackernews.com/2017/08/two-critical-zero-day-flaws-disclosed.html 黑客业务列表介绍和一般分类： 类别：攻击入侵破解开发 1：攻击业务订单：暂时取消所有此类业务订单[仅销售常规IDC流量] 2：入侵业务清单：包括网站源代码，办公系统，黑色系统，教育系统等。 3：破解业务类：软件，加密文件，二次打包，脱壳等。 4：二次开发业务清单：软件二次开发，源代码二次开发等 5：其他业务订单：特洛伊木马[通过所有防病毒]，远程控制，特殊软件等 备注：未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间，请在咨询前阅读：业务交易流程及相关说明 注意:仅接受正式业务，个人无权接受。收集此内容。