Adobe chưa công bố bản sửa lỗi bảo mật cho Flash Player
An toàn thông tin - Ngày đăng : 10:56, 16/10/2018
Adobe đã thông báo cho các khách hàng rằng Chương trình phần mềm đọc sách điện tử (Digital Editions) cho Windows, Mac và iOS bị ảnh hưởng bởi 9 lỗ hổng, bao gồm 4 lỗ hổng nguy cấp liên quan tới bộ nhớ có thể bị khai thác để thực thi mã tùy ý. Các lỗ hổng còn lại được đánh giá là “nghiêm trọng”, có thể dẫn đến hệ quả là tiết lộ thông tin.
Tất cả các lỗ hổng trên Digital Editions được Jaanus Kääp của Clarified Security báo cáo tới Adobe.
Nhà nghiên cứu Kushal Arvind Shah của Fortinet (Fortiguard Labs) đã thông báo cho Adobe về các lỗ hổng tấn công thư viện động (DLL hijacking) cho phép leo thang đặc quyền trong bộ sưu tập các ứng dụng của Adobe Systems (Technical Communications Suite) và ứng dụng dàn trang (Framemaker). Cả hai lỗ hổng bảo mật đều được xếp vào mức “nghiêm trọng”.
Adobe đã vá nhiều lỗ hổng XSS (Cross Site Scripting) (một kiểu tấn công cho phép tin tặc chèn những đoạn script độc hại) trong giải pháp quản lý nội dung (Experience Manager), bởi nó có thể dẫn tới việc tiết lộ thông tin nhạy cảm.
Cho dù không có bản vá bảo mật nào được triển khai cho Flash Player, thì điều đó cũng không có nghĩa là ứng dụng này an toàn 100%. Vào tháng 10/2017, Adobe không phát hành các bản cập nhật Patch Tuesday, nhưng một tuần sau đó họ lại đưa ra bản vá khẩn cấp cho Flash Player để xử lý lỗ hổng zero-day đã bị khai thác trong các cuộc tấn công nhắm mục tiêu do tác nhân mối đe dọa ở Trung Đông gây ra.
Số lượng lỗ hổng mà các nhà nghiên cứu tìm thấy trong Flash Player đã giảm đáng kể sau khi Adobe công bố dự định khai tử ứng dụng này vào năm 2020, nhưng các tác nhân độc hại vẫn tìm kiếm những lỗ hổng mà có thể khai thác được trong các hoạt động của chúng. Bằng chứng là một lỗ hổng zero-day đã từng bị tin tặc khai thác hồi tháng 6 vừa qua.