Adobe và lỗ hổng thực thi mã nguy cấp trong Flash Player

Lỗ hổng bảo mật có số hiệu CVE-2020-9746, được mô tả là một vấn đề liên quan đến con trỏ NULL.

Adobe giải thích: "Sự khai thác thành công có thể dẫn đến việc thực thi mã tùy ý trong bối cảnh người dùng hiện tại".

Công ty lưu ý rằng việc khai thác lỗ hổng yêu cầu kể tấn công phải chèn các chuỗi độc hại vào phản hồi HTTP mặc định được gửi qua TLS (Transport Layer Security- giao thức bảo mật tầng giao vận). Điều này khiến hoạt động tấn công trở nên khó khăn hơn.

Adobe và lỗ hổng thực thi mã nguy cấp trong Flash Player - Ảnh 1.

Adobe đã vá lỗ hổng CVE-2020-9746 bằng việc phát hành Player 32.0.0.445 cho Windows, macOS, Linux và Chrome OS.

Công ty cho biết, không có bằng chứng nào cho thấy lỗ hổng đã bị khai thác cho các mục đích độc hại và mặc dù lỗ hổng được xếp vào mức nguy cấp, nhưng Adobe đã xếp lỗ hổng vào mức ưu tiên số 2, tức là không phải vấn đề có nguy cơ bị khai thác bất cứ lúc nào.

Nick Colyer, Giám đốc thị trường của công ty Automox cho biết: "Điển hình trong số các lỗ hổng của Flash Player là khai thác dựa trên web. Đây là xu hướng chính nhưng không phải duy nhất. Những lỗ hổng này có thể cũng bị khai thác thông qua trình điều khiển ActiveX đã được nhúng trong tài liệu Microsoft Office hay bất kỳ ứng dụng nào sử dụng phần mềm kết xuất ảnh (rendering engine) của IE".

Nick Colyer cho biết thêm: "Sự bảo mật tốt nhất là khuyến khích khắc phục những xu hướng đe dọa tái diễn hoặc có nguy cơ bị khai thác. Đối với các tổ chức không thể xóa bỏ Adobe Flash do tính năng quan trọng của doanh nghiệp, chúng tôi khuyên bạn nên giảm thiểu nguy cơ mối đe dọa của các lỗ hổng này bằng cách chặn Adobe Flash Player không cho chạy trên tính năng bảo mật killbit, thiết lập chính sách nhóm để tắt tính năng thực tế hóa các đối tượng Flash hoặc giới hạn những cài đặt trung tâm tin cậy chỉ dẫn cho các phần tử tập lệnh đang hoạt động"

Flash Player sẽ không còn được hỗ trợ vào ngày 31/12. Sau thời điểm này, Flash Player sẽ không còn nhận được các bản cập nhận bảo mật nữa. Các nhà sản xuất trình duyệt đã bắt đầu triển khai và Microsoft đã thông báo rằng Flash sẽ bị xóa bỏ khỏi trình duyệt Edge vào tháng 1/2021.