Adobe vá các lỗ hổng thực thi mã nghiêm trọng trong bản cập nhật tháng 7

Mới đây, Adobe đã phát hành bản cập nhật bảo mật tháng 7 năm 2020 để vá các lỗ hổng trong 5 ứng dụng bị ảnh hưởng là: Creative Cloud Desktop (ứng dụng cho phép quản lý các sản phẩm Adobe Creative, cập nhật cũng như cài đặt chúng); Media Encoder (chương trình mã hóa cho phép mã hóa các tệp âm thanh và video thành các định dạng phân phối khác nhau); ColdFusion (phát triển ứng dụng web); Download Manager (phần mềm hỗ trợ người dùng thêm các tiện ích mới và quản lý các tiện ích hiện có dành cho các ứng dụng Adobe đã cài đặt) và Genuine Service (cập nhật các tính năng và phiên bản phần mềm mới).

Bốn trong số các lỗ hổng được đánh giá là nghiêm trọng, còn các lỗ hổng khác được xếp hạng là quan trọng. Hầu hết các lỗ hổng quan trọng liên quan đến vấn đề leo thang đặc quyền, tạo ra cánh cửa cho các cuộc tấn công nguy hiểm hơn.

"Bản cập nhật cho cả Adobe Download Manager và Media Encoder giải quyết các lỗ hổng nghiêm trọng (CVE-2020-9688, 9646 và 9650) có thể dẫn đến việc thực thi mã tùy ý", ông Justin Justinapp, giám đốc tiếp thị sản phẩm tại Automox cho Threatpost biết.

Lỗ hổng nghiêm trọng thứ tư (CVE-2020-9682) ảnh hưởng đến Creative Cloud Desktop và nếu bị khai thác, có thể cho phép kẻ tấn công tạo hoặc sửa đổi các tập tin.

Cụ thể, trong các bản vá lần này, Adobe đã xử lý 4 lỗ hổng trong ứng dụng Creative Cloud Desktop phiên bản 5.1 trở về trước cho các hệ điều hành Windows. Một trong số đó là sự cố liên kết tượng trưng (symlink) quan trọng (CVE-2020-9682) dẫn đến các cuộc tấn công tạo hoặc bổ sung tập tin tùy ý trên hệ thống.

Ba lỗ hổng còn lại đều có thể dẫn đến sự leo thang đặc quyền, trong đó lỗ hổng CVE-2020-9669 được gây ra do thiếu các biện pháp giảm thiểu khai thác; CVE-2020-9671 được gây ra thông qua quyền truy cập tập tin không an toàn; và CVE-2020-9670 là một lỗ hổng symlink khác.

Adobe Media Encoder chứa hai lỗ hổng thực thi mã tùy ý nghiêm trọng (CVE-2020-9650 và CVE-2020-9646) và một vấn đề tiết lộ thông tin quan trọng, ảnh hưởng đến cả người dùng Windows và macOS chạy Media Encoder phiên bản 14.2 trở về trước.

Adobe Genuine Service, một tiện ích trong bộ Adobe ngăn người dùng chạy phần mềm lậu không chính hãng hoặc bị bẻ khóa, bị ảnh hưởng bởi vấn đề leo thang đặc quyền quan trọng.

Nền tảng phát triển ứng dụng web ColdFusion cũng phải gặp phải hai vấn đề leo thang đặc quyền quan trọng có thể được thực hiện bằng cách khai thác cuộc tấn công chiếm quyền điều khiển tìm kiếm DLL.

Trong khi Adobe Download Manager chỉ có một lỗ hổng (CVE-2020-9688) rất nghiêm trọng và có thể dẫn đến việc thực thi mã tùy ý trong bối cảnh người dùng hiện tại thông qua tấn công cấy lệnh. Lỗ hổng ảnh hưởng đến Adobe Download Manager phiên bản 2.0.0.518 cho Windows và đã được vá bằng bản phát hành phiên bản 2.0.0.529 của phần mềm.

Hiện không có lỗ hổng bảo mật nào được sửa trong đợt cập nhật Adobe này được tiết lộ công khai hoặc bị phát hiện có bằng chứng khai thác trong thực tế.

Tuy nhiên, người dùng Adobe vẫn được khuyến cáo cần tải xuống và cài đặt các phiên bản mới nhất của phần mềm bị ảnh hưởng để bảo vệ hệ thống và doanh nghiệp của họ khỏi các cuộc tấn công mạng tiềm ẩn.