Adobe vá 85 lỗ hổng trong các sản phẩm Acrobat

Acrobat DC và Acrobat Reader DC (các phiên bản kế tiếp) 2019.008.20071, Acrobat 2017, Reader DC 2017 (phiên bản 2017) 2017.011.30105, Acrobat DC và Reader DC (Classic 2015) 2015.006.30456 vá tổng cộng 85 lỗ hổng.

Danh sách bao gồm 22 lỗ hổng về lỗi ghi tràn (out-of-bounds write), 7 lỗ hổng về lỗi tràn bộ đệm (heap overflow), 7 lỗ hổng về lỗi trong khâu quản lý bộ nhớ (use-after-free), 3 lỗ hổng về lỗi loạn bộ nhớ (type confusion), một lỗ hổng về lỗi 1 vùng nhớ 2 lần (one double free), 3 lỗi tràn bộ nhớ, 3 lỗ hổng về lỗi về truy cập vào vùng nhớ mà một con trỏ trỏ tới không tin cậy (untrusted pointer dereference) – tất cả đều được đánh giá là có mức nghiêm trọng và có thể bị khai thác để thực thi mã tùy ý.

Một lỗi bảo mật bị bỏ qua có thể dẫn tới leo thang đặc quyền cũng được xếp vào mức độ “nguy cấp”. Các lỗ hổng còn lại là tràn ngăn xếp (stack overflow), tràn số nguyên (integer overflow), đọc ngoài bộ nhớ (out-of-bounds read) đều được xếp  vào mức “nghiêm trọng” và chúng có thể dẫn tới lộ lọt thông tin.

Các nhà nghiên cứu độc lập và đội ngũ của Qihoo 360, Cisco Talos, Đại học Beihang, Palo Alto Networks, Knownsec, Check Point Software Technologies và Tencent đều đã xác nhận báo cáo về những lỗ hổng này. Nhiều lỗ hổng bảo mật được thông báo tới Adobe thông qua trang Sáng kiến lỗ hổng Zero Day (ZDI) của Trend Micro.

Tuy nhiên, nhà nghiên cứu xác nhận nhiều lỗ hổng nhất là Omri Herscovici, người đứng đầu nhóm nghiên cứu lỗ hổng tại Check Point. Herscovici đã phát hiện ra 35 lỗ hổng trong tổng số các lỗ hổng đã được Adobe vá vào 1/10 vừa qua.

Trong khi một số lỗ hổng đã được xếp vào mức “nguy cấp”, Adobe đã gán các cập nhật bảo mật ở mức ưu tiên thứ 2, cho thấy là chưa có khai thác rõ ràng và Adobe không tin các khai thác sắp xảy ra.

Tháng trước, Adobe chỉ vá 7 lỗ hổng trong các sản phẩm Acrobat. Tuy nhiên, không có gì lạ khi công ty xử lý số lượng lớn các điểm yếu bảo mật trong các ứng dụng này - hồi tháng 7, Adobe đã sửa hơn 100 lỗ hổng.