Adobe đối phó với "thảm hoạ" bảo mật trong ứng dụng

  •  
  • 54

Tháng giêng năm nay có thể coi là tháng của lỗi bảo mật trong các sản phẩm Apple (Month Of Apple Bugs), nhưng căn cứ vào số lượng lỗ hổng xuất hiện trong các sản phẩm Adobe, danh hiệu này có thể đổi thành "Month Of Adobe Bugs".

Sáu lỗ hổng ảnh hưởng tới Reader và Acrobat đã được phát hiện trong vòng hai tuần qua. Một trong số hai lỗ hổng này cho phép tấn công scripting liên miền (XSS), và một nhóm các lỗ hổng khác cho phép kẻ tấn công có thể khai thác bằng cách tạo ra một file PDF giả mạo rồi lừa người dùng mở ra.

Nhóm lỗ hổng thứ hai trong các sản phẩm Adobe cũng nguy hiểm không kém, đó là chúng cho phép những kẻ tấn công từ xa có thể thực thi mã độc hại và chiếm quyền điều khiển máy tính nạn nhân. Trong một cảnh báo được đưa ra ngày 9/1, Adobe cho biết tin tặc có thể chèn một file độc hại vào Adobe Reader để khai thác lỗ hổng này.

Adobe xếp nhóm lỗ hổng trên ở mức "nghiêm trọng" (mức cảnh báo cao nhất); còn Symantec xếp lỗ hổng ở mức 8,3/10 điểm, trong khi Secunia xếp ở mức "nghiêm trọng cao" (mức nguy hiểm 4/5).

Adobe cũng đã nêu "công trạng" của Piotr Bania, một chuyên gia nghiên cứu bảo mật Ba Lan, vì đã phát hiện một lỗ hổng tràn bộ đệm vô cùng nghiêm trọng trong bộ nhớ "heap".

Craig Schmugar, một chuyên gia nghiên cứu cảnh báo bảo mật của Avert Labs - McAfee, cho biết "cơn mưa" lỗ hổng trong các sản phẩm Adobe cho thấy giới tin tặc đang chuyển dần từ việc khai thác hệ điều hành sang các nền tảng ứng dụng.

Cũng theo Schmugar, do được sử dụng một cách rất rộng rãi, các ứng dụng liên nền tảng là mục tiêu hấp dẫn giới tin tặc, và điều này cũng có nghĩa là các sản phẩm khác như Flash và Shockwave cũng sẽ trở thành mục tiêu tấn công.

Trong khi đó, Adobe đã cho vá lỗ hổng XSS, được phát hiện tuần trước từng cho phép tin tặc khởi phát các cuộc tấn công bằng cách chèn mã Javascript độc hại và đường web link tới file PDF. Adobe xếp lỗ hổng này ở mức "quan trọng" - mức cảnh báo gần như cao nhất (thang 3/4).

Adobe cũng vá một lỗ hổng trong Adobe ColdFusion, máy chủ ứng dụng và khung phát triển phần mềm dành cho việc tạo lập các nội dung web động.

Theo CRN, VnMedia
  • 54