Adobe phát hành bản vá bảo mật Out-of-band cho 82 lỗ hổng trong các sản phẩm khác nhau

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

bản vá Adobe

Adobe cuối cùng đã phát hành bản cập nhật bảo mật “out-of-band” để vá tổng cộng 82 lỗ hổng trong nhiều sản phẩm khác nhau của công ty.

Tuy nhiên, đây không phải bản “Patch Tuesday” hàng tháng của Adobe và việc phát hành bản vá này đã được thông báo từ trước.

Các sản phẩm chứa lỗ hổng đã nhận được bản vá bảo mật bao gồm:

Phần lớn các lỗ hổng nằm trong Adobe Acrobat và Reader

Trong số 82 lỗ hổng bảo mật thì có tới 45 lỗ hổng bị gắn mác “nghiêm trọng” và tất cả chúng đều ảnh hưởng đến Adobe Acrobat và Reader. Nếu khai thác thành công, các hacker có thể thực thi mã tùy ý trong bối cảnh của người dùng hiện tại.

Phần lớn các lỗ hổng được xếp hạng “nghiêm trọng” (26 lỗ hổng) trong Adobe Acrobat và Reader tồn tại do lỗi use-after-free, 6 lỗi do viết out-of-bounds, 4 lỗi nhầm lẫn loại (type confusion bug), 4 lỗi do con trỏ không đáng tin cậy (untrusted pointer dereference), 3 lỗi tràn heap (heap overflow), một lỗi tràn bộ đệm (buffer overrun) và một vấn đề về điều kiện cuộc đua (race condition).

Adobe Acrobat và Reader cho Microsoft Windows và các hệ điều hành macOS của Apple cũng đã nhận được các bản vá cho 23 lỗ hổng được xếp hạng “quan trọng” có thể dẫn đến các cuộc tấn công tiết lộ thông tin do các vấn đề về đọc out-of-bounds và kịch bản chéo trang (cross-site scripting).

Bản vá lỗ hổng trong các sản phẩm khác

Adobe Experience Manager – một giải pháp quản lý nội dung toàn diện để xây dựng trang web, ứng dụng di động và biểu mẫu cũng đã được phát hành bản vá để giải quyết tổng cộng 12 lỗ hổng trong đó có 8 lỗ hổng được đánh giá là “quan trọng” và 4 lỗ hổng ở mức độ “nghiêm trọng”.

Hai lỗ hổng còn lại được vá trong lần này bao gồm: một vấn đề tiết lộ thông tin mức độ nghiêm trọng vừa phải nằm trong Adobe Experience Manager Forms cho tất cả các nền tảng và một lỗ hổng leo thang đặc quyền “quan trọng” ảnh hưởng đến Adobe Download Manager cho Microsoft Windows.

Điều đáng ngạc nhiên là Adobe Flash Player không nhận được bản vá bảo mật out-of-band lần này. Lưu ý thêm rằng Adobe sẽ ngừng cung cấp các bản cập nhật cho Flash Player vào cuối năm 2020.

Cả hai bản cập nhật dành cho Acrobat ReaderExperience Manager đều nhận được mức độ ưu tiên là 2, nghĩa là các lỗ hổng tương tự trước đây đã bị các hacker khai thác trên thực tế, nhưng hiện tại thì công ty không còn phát hiện các hoạt động khai thác nữa.  

Mặt khác, các bản cập nhật Adobe Experience Manager FormsAdobe Download Manager nhận được mức độ ưu tiên là 3. Theo ghi chú cập nhật của Adobe thì điều này có nghĩa là các lỗ hổng được xử lý trong các bản cập nhật khó có thể bị khai thác trong các cuộc tấn công.

Cập nhật bản vá bảo mật

Mặc dù không có lỗ hổng bảo mật nào trong loạt bản cập nhật Adobe lần này được tiết lộ công khai hoặc bị khai thác trên diện rộng, nhưng người dùng vẫn được khuyến nghị nên tải xuống bản cập nhật mới nhất của các phần mềm bị ảnh hưởng càng sớm càng tốt.

Nếu hệ thống của bạn chưa tự động phát hiện các bản cập nhật mới, bạn nên cài đặt bản cập nhật theo cách thủ công bằng cách chọn Help (Trợ giúp) → Check for updates (Kiểm tra cập nhật) trong phần mềm Adobe dành cho Windows, macOS, Linux và Chrome OS.

THN