Gửi bình luận
Hủy
Gửi
Adobe đã xử lý 14 lỗ hổng trong các sản phẩm Acrobat của mình, bao gồm các lổ hổng nguy hiểm có thể khiến cho những kẻ tấn công khai thác để thực thi mã tùy ý.
Những lỗ hổng này ảnh hưởng tới các phiên bản sử dụng Windows và macOS của Acrobat DC, Acrobat Reader DC, Acrobat 2020, Acrobat Reader 2020, Acrobat 2017 và Acrobat Reader 2017.
Công ty cho biết: "Adobe đã phát hành bản cập nhật bảo mật cho Adobe Acrobat và Reader sử dụng Windows và macOS. Các bản cập nhật này xử lý các lỗ hổng nghiêm trọng và cả các lỗ hổng thông thường. Việc khai thác thành công có thể dẫn đến thực thi mã tùy ý trong bối cảnh người dùng".
Bốn lỗ hổng được đánh giá ở mức nghiêm trọng bao gồm: CVE-2020-24435: Là một lỗi tràn bộ đệm dựa trên đống (Heap); CVE-2020-24436: Một lỗ hồng ghi dữ liệu ngoài vùng bộ nhớ (Out-of-bounds write); CVE-2020-24430, CVE-2020-24437: Là các lỗ hổng use-after-free (cho phép kẻ xấu tấn công sau khi người dùng tương tác với phần mềm độc hại).
Cả 4 lỗ hổng này đều dẫn đến thực thi mã tùy ý trong ngữ cảnh người dùng mục tiêu.
Adobe đã xử lý 6 lỗ hổng được đánh giá là nghiêm trọng, bao gồm CVE-2020-24433, CVE-2020-24432, CVE-2020-24429, CVE-2020-24427, CVE-2020-24431, CVE-2020-24428, có thể bị khai thác theo thang quyền nội bộ, gây lộ lọt thông tin, cấy DLL (Dynamic Link Library - thư viện liên kết động) và thực thi mã JavaScript qua tính năng bảo mật và tình huống tương tranh (race condition).
Adobe cũng đã khắc phục các lỗ hổng có mức nghiêm trọng trung bình, có thể gây lộ lọt thông tin là CVE-2020-24439, CVE-2020-24426, CVE-2020-24434, CVE-2020-24438.
Những lỗ hổng này đã được báo cáo bởi các nhà nghiên cứu độc lập của Cisco Talos, Computest, Danish Cyber Defence, Qihoo 360, Star Lab và Ruhr University Bochum và Tencent.
Và hiện nay, Adobe không thấy có bất kỳ khai thác nào đối với các lỗ hổng này ngoài môi trường và hy vọng chúng sẽ không bị khai thác sau khi được công ty phát hành các bản vá.
TẠP CHÍ ĐIỆN TỬ THÔNG TIN VÀ TRUYỀN THÔNG