Adobe đã phát hành các bản cập nhật bảo mật để khắc phục bảy lỗ hổng trong nền tảng Flash và Air và một lỗ hổng trong Reader và Acrobat, theo công ty, đang bị khai thác bởi những kẻ tấn công trong tự nhiên “…trong các cuộc tấn công bị cô lập, hạn chế nhắm mục tiêu người dùng Adobe Reader trên Windows.”
Các lỗ hổng có thể cho phép kẻ tấn công “kiểm soát các hệ thống bị ảnh hưởng” được công ty đánh dấu là quan trọng.
Một bản vá lỗi mới, nằm ngoài băng tần giải quyết một lỗ hổng zero-day (CVE-2014-0546) trong Adobe Reader và Acrobat cung cấp cho kẻ tấn công khả năng vượt qua bảo vệ hộp cát và đã được tận dụng trong “các cuộc tấn công cô lập, hạn chế” đối với người dùng Windows.
“Các bản cập nhật này giải quyết lỗ hổng bỏ qua sandbox có thể bị khai thác để chạy mã gốc với các đặc quyền được nâng cấp trên Windows,“Adobe cảnh báo.
Lỗ hổng duy nhất trong Adobe Acrobat và Reader đã được báo cáo bởi Giám đốc Nhóm Phân tích và Nghiên cứu Toàn cầu của Kaspersky Lab, Costin Raiu và Vitaly Kamluk.
Tuy nhiên, chi tiết về lỗ hổng bảo mật không được tiết lộ, nhưng Raiu cho biết trong một bài đăng trên blog rằng việc khai thác đã được quan sát thấy trong một số ít các cuộc tấn công có chủ đích và điều quan trọng là mọi người phải vá lỗi càng sớm càng tốt.
“Hiện tại, chúng tôi không cung cấp bất kỳ thông tin chi tiết nào về các cuộc tấn công này vì cuộc điều tra vẫn đang tiếp diễn,” Raiu nói. “Mặc dù các cuộc tấn công này rất hiếm, nhưng để đảm bảo an toàn, chúng tôi khuyên mọi người nên tải bản cập nhật từ trang Adobe càng sớm càng tốt.“
Các phiên bản Apple OS X của Acrobat và Reader không dễ bị tấn công. Theo công ty, chỉ các phiên bản Reader và Acrobat 11.0.07 trở về trước cho Windows bị ảnh hưởng.
Bản cập nhật bảo mật khác vá bảy lỗ hổng trong Flash Player, hầu hết trong số đó được công ty đánh giá là nghiêm trọng, nhưng không có lỗ hổng Flash nào đang bị khai thác ngoài thực tế, Adobe cho biết.
Năm trong số các bản cập nhật đã giải quyết các lỗ hổng rò rỉ bộ nhớ có thể được sử dụng để bỏ qua ngẫu nhiên địa chỉ bộ nhớ. Hai bản vá còn lại giải quyết lỗ hổng bỏ qua bảo mật và lỗ hổng sử dụng sau khi miễn phí có thể cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng.
Các phiên bản bị ảnh hưởng như sau:
- Adobe Flash Player 14.0.0.145 và các phiên bản cũ hơn dành cho Windows và Macintosh
- Adobe Flash Player 11.2.202.394 và các phiên bản cũ hơn cho Linux
- Adobe AIR 14.0.0.110 và các phiên bản cũ hơn dành cho Windows và Macintosh
- Adobe AIR 14.0.0.137 SDK và các phiên bản cũ hơn
- Adobe AIR 14.0.0.137 SDK & Trình biên dịch và các phiên bản cũ hơn
- Adobe AIR 14.0.0.137 và các phiên bản cũ hơn dành cho Android
Công ty kêu gọi người dùng áp dụng các bản cập nhật trong vòng ba ngày trên nền tảng Windows, Mac và Linux. Người dùng có thể cập nhật Acrobat và Reader bằng tùy chọn menu Trợ giúp > Kiểm tra cập nhật. Người dùng Flash Player có thể tải xuống phiên bản mới nhất từ Adobe. Người dùng Internet Explorer và Google Chrome trên Windows 8 trở lên sẽ nhận được các bản cập nhật trình duyệt từ những công ty có phiên bản cố định của Flash Player tích hợp của họ.
Microsoft cũng đã tung ra 9 bản cập nhật bảo mật để giải quyết ít nhất 37 lỗ hổng bảo mật trong Windows và phần mềm liên quan, bao gồm Internet Explorer, Windows Media Center, One Note, SQL Server và SharePoint.
Công ty cũng đã thực hiện một số thay đổi quan trọng trong tháng này. Microsoft đã thông báo rằng họ sẽ sớm bắt đầu chặn các điều khiển ActiveX đã lỗi thời đối với người dùng Internet Explorer và sẽ chỉ hỗ trợ các phiên bản mới nhất của .NET Framework và IE cho từng hệ điều hành được hỗ trợ.
