Adobe vá hơn 100 lỗ hổng trong Acrobat và Reader
Diễn đàn - Ngày đăng : 14:35, 16/07/2018
Các phiên bản mới nhất của Acrobat và Reader cho Windows và macOS xử lý hàng chục lỗi bộ nhớ gián đoạn bộ nhớ quan trọng mà cho phép thực thi mã từ xa, bao bồm cả lỗ hổng bộ nhớ double-free, tràn bộ nhớ heap, use-after-free (lỗ hổng nằm trong khâu quản lý bộ nhớ), ghi tràn (out-of-bounds write), type confusion (nhầm loại), thao tác gán địa chỉ vùng nhớ dữ liệu cho một con trỏ (pointer dereference) không đáng tin cậy.
Danh sách các lỗ hổng được khắc phục trong bản cập nhật này cũng bao gồm cả lỗ hổng leo thang đặc quyền quan trọng và hàng chục vấn đề về đọc ngoại vi (out-of-bounds read) quan trọng dẫn đến lộ lọt thông tin.
Hơn 20 nhà nghiên cứu đã thông tin về những lỗ hổng này tới Adobe. Nhiều lỗ hổng bảo mật đã được báo cáo tới nhà cung cấp thông qua sáng kiến "Zero-Day Initiative" của Trend Micro.
Trong trường hợp của Flash Player, phiên bản 30.0.0.134 giải quyết vấn đề type confusion quan trọng có thể dẫn tới thực thi mã và một lỗ hổng được xếp vào loại quan trọng có thể dẫn tới lộ lọt thông tin.
Hotfixes được phát hành bởi Adobe cho Experience Manager vá 3 lỗ hổng giả mạo yêu cầu từ máy chủ (SSRF - server-side request forgery), có thể dẫn tới việc phơi bày thông tin nhạy cảm, nhưng không có lỗ hổng nào được xếp ở mức độ quan trọng.
Cuối cùng, các bản cập nhật phát hành cho Adobe Connect xử lý vấn đề bỏ qua xác thực và các lỗi tải thư viện không an toàn, được xếp vào mức độ nghiêm trọng trung bình và quan trọng.
Adobe cho biết, họ không thấy bất kỳ nỗ lực khai thác độc hại nào đối với những lỗ hổng đã được vá và công ty hi vọng sẽ không có các cuộc tấn công nào lợi dụng những lỗ hổng này.