Adobe sửa lỗi sai sót nghiêm trọng của Reader, Acrobat, Flash Player và Illustrator

Tất cả các cập nhật bảo mật giải quyết lỗ hổng việc thực thi mã từ xa (remote code execution)

Adobe Systems đã phát hành bản cập nhật bảo mật quan trọng cho một số sản phẩm vào ngày 13/05/2014 để sửa chữa lỗ hổng có thể cho phép kẻ tấn công kiểm soát từ xa các hệ thống chạy phần mềm thứ yếu.

Những sản phẩm đã nhận được các bản vá lỗi bảo mật như Flash Player, Adobe AIR SDK( bộ phát triển phần mềm) và trình biên dịch để xây dựng các ứng dụng Internet phong phú, Adobe Reader, Adobe Acrobat và Adobe Illustrator cho CS6.

Trong khi độ bảo mật cập nhật cho Flash Player, AIR, Reader và Acrobat được phát hành hàng tháng thì các bản vá lỗi bảo mật cho Illustrator lại rất hiếm, đặc biệt là những bản quan trọng, bản gần nhất phát hành cũng đã từ 2 năm trước.

Trong một tư vấn bảo mật của Adobe cho biết các hotfix Illustrator mới giải quyết một lỗ hổng có thể lại bị khai thác để thực thi mã từ xa trên các hệ thống bị ảnh hưởng, nhưng không nói rõ như thế nào. Công ty khuyến cáo người sử dụng Adobe Illustrator trên Windows và Mac nâng cấp lên phiên bản mới được phát hành 16.2.2 hoặc 16.0.5, tùy thuộc vào việc có subscription hay không.

Các phiên bản Flash Player mới phát hành vào ngày 13/05/2014, 13.0.0.214 cho Windows và Mac và 11.2.202.359 cho Linux, đã sửa chữa tổng cộng sáu lỗ hổng. Một trong những lỗi đó, CVE-2014-0510, có thể dẫn đến việc thực thi mã tùy ý (arbitrary code execution), đã được phát hiện bởi các thành viên đội Keen và đội 509 trong cuộc thi Pwn2Own vào tháng Ba.

Một trong những lỗ hổng được vá khác có thể được khai thác để bỏ qua cùng một chính sách gốc, tính năng bảo mật quan trọng ngăn chặn nội dung tải từ các website khỏi việc tương tác lẫn nhau, và bốn lỗ hổng còn lại có thể được sử dụng để bỏ qua bảo vệ an ninh khác trong chương trình.

Các phiên bản Flash Player đã phân phối với Google Chrome, Internet Explorer 10 và Internet Explorer 11 sẽ tự động cập nhật thông qua các cơ chế cập nhật của những trình duyệt.

Các lổ hổng tương tự đã được sửa trong Adobe AIR SDK 13.0.0.111, Adobe AIR SDK 13.0.0.111 và Compiler mới phát hành, bao gồm cả Flash Player.

Adobe Reader và Acrobat X và XI đã được cập nhật phiên bản 11.0.07 và 10.1.10 để sửa mười lỗi remote code execution, một sandbox bypass và một lỗi tiết lộ thông tin. Lỗi remote code execution CVE-2014-0511, và sandbox bypass CVE-2014-0512 đã được sử dụng trong suốt cuộc thi Pwn2Own bởi team của công ty nghiên cứu Vupen  (Pháp).

Các cập nhật bảo mật Adobe Reader và Flash nhận được xếp hạng ưu tiên hàng đầu từ  Adobe. Điều này cho thấy rằng các công ty tự hỏi họ khai thác một cách dễ dàng một lần các bản vá lỗi đã được thiết kế, ngược lại, Wolfgang Kandek, giám đốc kỹ thuật tại Qualys đã phát biểu thông qua Email rằng: “Lưu ý rằng Adobe cũng không cung cấp các bản vá lỗi cho Windows XP nữa.”