Adobe vá các lỗ hổng thực thi mã nghiêm trọng trong bản cập nhật tháng 7

TH| 15/07/2020 17:26
Theo dõi ICTVietnam trên

Adobe đã phát hành bản cập nhật phần mềm để vá tổng cộng 13 lỗ hổng bảo mật mới ảnh hưởng đến 5 ứng dụng được sử dụng rộng rãi.

Mới đây, Adobe đã phát hành bản cập nhật bảo mật tháng 7 năm 2020 để vá các lỗ hổng trong 5 ứng dụng bị ảnh hưởng là: Creative Cloud Desktop (ứng dụng cho phép quản lý các sản phẩm Adobe Creative, cập nhật cũng như cài đặt chúng); Media Encoder (chương trình mã hóa cho phép mã hóa các tệp âm thanh và video thành các định dạng phân phối khác nhau); ColdFusion (phát triển ứng dụng web); Download Manager (phần mềm hỗ trợ người dùng thêm các tiện ích mới và quản lý các tiện ích hiện có dành cho các ứng dụng Adobe đã cài đặt) và Genuine Service (cập nhật các tính năng và phiên bản phần mềm mới).

Adobe vá các lỗ hổng thực thi mã nghiêm trọng trong bản cập nhật tháng 7 - Ảnh 1.

Bốn trong số các lỗ hổng được đánh giá là nghiêm trọng, còn các lỗ hổng khác được xếp hạng là quan trọng. Hầu hết các lỗ hổng quan trọng liên quan đến vấn đề leo thang đặc quyền, tạo ra cánh cửa cho các cuộc tấn công nguy hiểm hơn.

"Bản cập nhật cho cả Adobe Download Manager và Media Encoder giải quyết các lỗ hổng nghiêm trọng (CVE-2020-9688, 9646 và 9650) có thể dẫn đến việc thực thi mã tùy ý", ông Justin Justinapp, giám đốc tiếp thị sản phẩm tại Automox cho Threatpost biết.

Lỗ hổng nghiêm trọng thứ tư (CVE-2020-9682) ảnh hưởng đến Creative Cloud Desktop và nếu bị khai thác, có thể cho phép kẻ tấn công tạo hoặc sửa đổi các tập tin.

Cụ thể, trong các bản vá lần này, Adobe đã xử lý 4 lỗ hổng trong ứng dụng Creative Cloud Desktop phiên bản 5.1 trở về trước cho các hệ điều hành Windows. Một trong số đó là sự cố liên kết tượng trưng (symlink) quan trọng (CVE-2020-9682) dẫn đến các cuộc tấn công tạo hoặc bổ sung tập tin tùy ý trên hệ thống.

Ba lỗ hổng còn lại đều có thể dẫn đến sự leo thang đặc quyền, trong đó lỗ hổng CVE-2020-9669 được gây ra do thiếu các biện pháp giảm thiểu khai thác; CVE-2020-9671 được gây ra thông qua quyền truy cập tập tin không an toàn; và CVE-2020-9670 là một lỗ hổng symlink khác.

Adobe Media Encoder chứa hai lỗ hổng thực thi mã tùy ý nghiêm trọng (CVE-2020-9650 và CVE-2020-9646) và một vấn đề tiết lộ thông tin quan trọng, ảnh hưởng đến cả người dùng Windows và macOS chạy Media Encoder phiên bản 14.2 trở về trước.

Adobe Genuine Service, một tiện ích trong bộ Adobe ngăn người dùng chạy phần mềm lậu không chính hãng hoặc bị bẻ khóa, bị ảnh hưởng bởi vấn đề leo thang đặc quyền quan trọng.

Nền tảng phát triển ứng dụng web ColdFusion cũng phải gặp phải hai vấn đề leo thang đặc quyền quan trọng có thể được thực hiện bằng cách khai thác cuộc tấn công chiếm quyền điều khiển tìm kiếm DLL.

Trong khi Adobe Download Manager chỉ có một lỗ hổng (CVE-2020-9688) rất nghiêm trọng và có thể dẫn đến việc thực thi mã tùy ý trong bối cảnh người dùng hiện tại thông qua tấn công cấy lệnh. Lỗ hổng ảnh hưởng đến Adobe Download Manager phiên bản 2.0.0.518 cho Windows và đã được vá bằng bản phát hành phiên bản 2.0.0.529 của phần mềm.

Hiện không có lỗ hổng bảo mật nào được sửa trong đợt cập nhật Adobe này được tiết lộ công khai hoặc bị phát hiện có bằng chứng khai thác trong thực tế.

Tuy nhiên, người dùng Adobe vẫn được khuyến cáo cần tải xuống và cài đặt các phiên bản mới nhất của phần mềm bị ảnh hưởng để bảo vệ hệ thống và doanh nghiệp của họ khỏi các cuộc tấn công mạng tiềm ẩn.

Nổi bật Tạp chí Thông tin & Truyền thông
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Vô địch cuộc thi bảo mật triệu đô, Viettel Cyber Security tìm kiếm chiến thắng lớn hơn
    Các thiết bị lưu trữ hình ảnh, dữ liệu nhạy cảm như điện thoại di động, camera an ninh không an toàn như nhiều người vẫn nghĩ, như đã được chứng minh qua 9 lỗ hổng zero-day mà Viettel Cyber Security (VCS) tìm ra tại Pwn2Own 2024. Và mục tiêu dài hạn của VCS là làm thế nào để những sản phẩm này an toàn hơn cho người dùng.
  • Trên 1 triệu người đăng ký tài khoản “Công dân Thủ đô số”
    Theo thông tin từ Sở Thông tin và Truyền thông Hà Nội, tính đến hết tháng 10/2024, ứng dụng “Công dân Thủ đô số” – iHanoi đã đã có khoảng 14 triệu lượt người dân truy cập khai thác, sử dụng. Tổng số người dùng đăng ký tài khoản trên ứng dụng này lên tới 1.043.724.
  • Sắp diễn ra Lễ hội văn hoá ẩm thực Hà Nội năm 2024
    UBND TP. Hà Nội vừa ban hành Kế hoạch số 313/KH-UBND về việc tổ chức Lễ hội văn hóa ẩm thực Hà Nội năm 2024 (The HaNoi Culinary Culture Festival 2024) với chủ đề "Hà Nội kết nối năm châu".
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
Đừng bỏ lỡ
Adobe vá các lỗ hổng thực thi mã nghiêm trọng trong bản cập nhật tháng 7
POWERED BY ONECMS - A PRODUCT OF NEKO