Adobe vá khẩn cấp 02 lỗi nghiêm trọng trong Adobe Acrobat và Reader

Các lỗi bảo mật Adobe vá khẩn cấp giúp tin tặc khai thác máy tính của bạn chỉ bằng cách mở tệp PDF. Adobe đã phát hành bản cập nhật bảo mật out-of-band để vá hai lỗ hổng nghiêm trọng trong Adobe Acrobat và Reader cho cả hệ điều hành Windows và macOS.

Mặc dù công ty Adobe không cung cấp thông tin chi tiết về các lỗ hổng nhưng đã phân loại các lỗi này là rất nghiêm trọng vì chúng cho phép leo thang đặc quyền và thực thi mã tùy ý trong bối cảnh của người dùng hiện tại. Cả hai lỗ hổng Adobe vá khẩn cấp đều do các nhà nghiên cứu bảo mật – Abdul-Aziz Hariri và Sebastian Apelt tại ZDI thuộc Trend Micro báo cáo.

securitydaily_lỗi nghiêm trọng trong Adobe Acrobat và Reader

Các lỗ hổng Adobe vá khẩn cấp

Lỗ hổng đầu tiên, được báo cáo bởi Apelt và có tên CVE-2018-16011, là một lỗi use-after-free có thể dẫn đến việc thực thi mã tùy ý. Kẻ tấn công có thể khai thác lỗ hổng bằng cách lừa người dùng nhấp vào tệp PDF tự tạo, cuối cùng sẽ thực thi mã theo lựa chọn của tin tặc với đặc quyền của người dùng đang đăng nhập, cho phép kẻ tấn công chạy bất kỳ phần mềm độc hại nào trên máy tính của nạn nhân mà không cần cho phép. 

Lỗ hổng thứ hai Adobe vá khẩn cấp, được phát hiện bởi Hariri và có tên CVE-2018-19725 là một lỗ hổng bảo mật có thể dẫn đến leo thang đặc quyền. Cả hai lỗ hổng bảo mật được đánh giá là nghiêm trọng nhưng ở mức độ ưu tiên là 2. Điều này có nghĩa là công ty không tìm thấy bằng chứng cho thấy các lỗ hổng này đang bị khai thác.

Đọc thêm:   Foxit PDF Reader vá lỗi thực thi mã từ xa nghiêm trọng

Phiên bản phần mềm bị ảnh hưởng và thông tin về bản vá

Các phiên bản phần mềm bị ảnh hưởng gồm Acrobat và Reader DC 2015 phiên bản 2015.006.30461 trở về trước, phiên bản 2017 2017.011.30110 trở về trước và Phiên bản Continuous 2019.010.20064 trở về trước trên cả Windows và macOS. Adobe đã xử lý các lỗ hổng bằng phiên bản mới nhất của Acrobat DC 2015 và Acrobat Reader DC 2015 (phiên bản 2015.006.30464), Acrobat 2017 và Acrobat Reader DC 2017 (phiên bản 2017.011.30113) và Acrobat DC Continent và Acrobat Reader DC Continuous (phiên bản 2019.010.20069) cho Windows và macOS.

Vì các lỗ hổng hiện đã được công khai, các tác nhân đe dọa sẽ nắm cơ hội khai thác nhắm mục tiêu vào máy tính người dùng. Vì vậy, chủ sở hữu máy tính Mac và Windows nên cài đặt các bản vá cho hai lỗ hổng này càng sớm càng tốt.
Adobe thường phát hành các bản cập nhật bảo mật cho phần mềm của mình vào ngày thứ ba thứ hai của tháng, giống như Microsoft, vì vậy bạn có thể đợi bản cập nhật Tuesday Patch của tháng này.

Lược dịch từ The Hacker News
Vui lòng ghi rõ nguồn securitydaily.net khi đăng lại nội dung này.

2 BÌNH LUẬN

  1. excellent submit, very informative. I’m wondering why the opposite specialists of this sector don’t understand this. You must continue your writing. I’m confident, you have a great readers’ base already!

BÌNH LUẬN

Please enter your comment!