Adobe mới đây đã tung ra bản cập nhật bảo mật ngày thứ Ba cho Tháng 7/2019. Số lượng các lỗ hổng được vá trong lần này ít hơn tương đối so với những lần trước đó.
Ngoài ra, các bản cập nhật trong tháng này không tập trung vào các sản phẩm Adobe phổ biến như Flash Player hoặc Reader mà chủ yếu nhắm vào Adobe Experience Manager, Adobe Bridge CC và Dreamweaver. Dưới đây là bản tóm tắt nhanh về bản vá bảo mật tháng 7 của Adobe.
Nhiều lỗ hổng được vá trong Adobe Experience Manager
Với các bản cập nhật tháng 7, Adobe đã vá ba lỗ hổng khác nhau trong Adobe Experience Manager (Trình quản lý trải nghiệm Adobe), bao gồm hai lỗ hổng “Quan trọng” và một lỗ hổng đơn mức độ nghiêm trọng trung bình.
Trong tư vấn bảo mật được đưa ra, Adobe cho biết khi các lỗ hổng kể trên bị khai thác có thể dẫn đến tình trạng các thông tin nhạy cảm bị tiết lộ.
Hai lỗ hổng bảo mật “Quan trọng” được đề cập bao gồm lỗ hổng yêu cầu giả mạo chéo trang (cross-site request forgery – CVE-2019-7953) và kịch bản lưu trữ chéo trang (stored cross-site scripting – CVE-2019-7954).
Các lỗ hổng mức độ nghiêm trọng vừa phải bao gồm lỗ hổng phản xạ kịch bản chéo trang (reflected cross-site scripting – CVE-2019-7955). Nhà nghiên cứu Lorenzo Porondini đã báo cáo chi tiết lỗ hổng này cho Adobe.
Các phiên bản Adobe Experience Manager bị ảnh hưởng bởi các lỗ hổng này bao gồm 6.0, 6.1, 6.2, 6.3 và 6.4. Adobe đã vá tất cả các lỗ hổng này trong các phiên bản AEM tương ứng 6.3, 6.4 và 6.5.
Các sửa lỗi bảo mật khác trong bản vá tháng 7 của Adobe
Ngoài các cập nhật sửa lỗi trong Adobe Experience Manager, bản vá bảo mật tháng 7 của Adobe cũng giải quyết một số lỗi đơn lẻ trong Adobe Bridge CC và Adobe Dreamweaver.
Lỗ hổng trong Adobe Bridge CC
Liên quan đến Adobe Bridge CC, phía công ty đã cung cấp bản vá cho một lỗ hổng đọc ngoại vi quan trọng (out-of-bounds read – CVE-2019-7963) có thể dẫn đến việc tiết lộ thông tin người dùng.
Như được nêu trong tư vấn bảo mật của Adobe, đây là một lỗ hổng bảo mật xảy ra khi phân tích hình ảnh SVG không đúng định dạng. Điều này có thể gây ra lỗi đọc ngoại vi dẫn đến tình trạng tiết lộ thông tin (địa chỉ bộ nhớ) trong bối cảnh của người dùng hiện tại.
Lỗ hổng này đặc biệt ảnh hưởng đến Adobe Bridge CC phiên bản 9.0.2 trở về trước.
Adobe đã cung cấp bản sửa lỗi cho lỗ hổng này trong phiên bản Adobe CC 9.1. Phía công ty cũng cho biết đã nhận được báo cáo thông tin về lỗ hổng từ nhà nghiên cứu Francis Provencher, một thành viên của nhóm Sáng kiến Zero Day của Trend Micro.
Lỗ hổng trong Adobe Dreamweaver
Trong khi đó, lỗ hổng trong Adobe Dreamweaver là một lỗi quan trọng liên quan tới tải thư viện không an toàn (DLL hijacking) ảnh hưởng đến các phiên bản cài đặt tải xuống Adobe Dreamweaverdirect cả các phiên bản trước đó lẫn 19.0 và 18.0.
Lỗ hổng quan trọng này mang số hiệu CVE-2019-7956 có thể dẫn đến tình trạng leo thang đặc quyền khi bị khai thác.
Adobe đã sửa lỗi này với việc phát hành Adobe Dreamweaverdirect cài đặt tải xuống phiên bản 2019 và 2018. Bên cạnh đó, Adobe cũng cảm ơn nhà nghiên cứu Honc trong tư vấn bảo mật của công ty vì đã báo cáo sớm vấn đề cho họ.
Người dùng của các sản phẩm Adobe tương ứng được khuyến nghị nên cập nhật lên các phiên bản mới nhất càng sớm càng tốt để tránh khỏi các nguy cơ tiềm tàng đến từ các lỗ hổng đang tồn tại.
Bản cập nhật bảo mật tháng này của Adobe được đánh giá là không chứa bản vá lỗi cho bất cứ lỗ hổng bảo mật “sống còn” nào, không giống như các bản cập nhật được phát hành vào tháng 5 và tháng 6 trước đó.
LHN
