Adobe có thể khai tử Flash Player vào cuối năm 2020, nhưng cho đến lúc đó, công ty sẽ không ngừng cung cấp các bản cập nhật bảo mật cho phần mềm lỗi.
Là một phần của bản cập nhật bảo mật hàng tháng, Adobe đã phát hành các bản vá cho tám lỗ hổng bảo mật trong ba sản phẩm của mình, bao gồm hai lỗ hổng trong Flash Player, bốn lỗ hổng trong ColdFusion và hai lỗ hổng trong RoboHelp—năm trong số này được đánh giá là nghiêm trọng.
Cả hai lỗ hổng Adobe Flash Player đều có thể bị khai thác để thực thi mã từ xa trên thiết bị bị ảnh hưởng và cả hai đều được phân loại là nghiêm trọng.
Theo công ty, không có lỗ hổng nào được vá đã bị khai thác ngoài tự nhiên.
Các lỗ hổng nghiêm trọng của Flash Player được theo dõi là CVE-2017-11281 và CVE-2017-11282 và lần lượt được phát hiện bởi Mateusz Jurczyk và Natalie Silvanovich của Google Project Zero.
Cả hai lỗ hổng bảo mật đều là sự cố hỏng bộ nhớ có thể dẫn đến thực thi mã từ xa và ảnh hưởng đến tất cả các hệ điều hành chính, bao gồm Windows, Macintosh, Linux và Chrome OS.
Các lỗ hổng đã được cập nhật trong phiên bản Flash Player 27.0.0.130 mới nhất.
Ba lỗ hổng nghiêm trọng và một lỗ hổng quan trọng còn lại nằm trong Cold Fusion, bao gồm lỗ hổng phân tích cú pháp XML nghiêm trọng (CVE-2017-11286), lỗi XSS (tập lệnh chéo trang) quan trọng (CVE-2017-11285) có thể dẫn đến tiết lộ thông tin và giảm thiểu đối với quá trình giải tuần tự hóa Java không an toàn, dẫn đến thực thi mã từ xa (CVE-2017-11283, CVE-2017-11284).
Những lỗ hổng này ảnh hưởng đến tất cả các nền tảng và đã được phát hiện và báo cáo bởi Nick Bloor của NCC Group, Daniel Sayk của Telekom Security và Daniel Lawson của Depth Security.
Các sự cố đã được vá trong phiên bản Adobe ColdFusion mới nhất 2016 Bản cập nhật phát hành 5 và phiên bản 11 Bản cập nhật 13.
Học cách bảo vệ phạm vi nhận dạng – Các chiến lược đã được chứng minh
Cải thiện bảo mật doanh nghiệp của bạn với hội thảo trực tuyến về an ninh mạng do chuyên gia hướng dẫn sắp tới của chúng tôi: Khám phá các chiến lược Vành đai nhận dạng!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Hai lỗi còn lại—một nghiêm trọng (CVE-2017-3104) và một lỗi được xếp hạng trung bình (CVE-2017-3105)—ảnh hưởng đến phiên bản Windows của công cụ soạn thảo trợ giúp RoboHelp của Adobe.
Lỗi quan trọng là lỗ hổng xác thực đầu vào có thể cho phép tấn công kịch bản chéo trang (XSS) dựa trên DOM, trong khi lỗ hổng chuyển hướng URL không hợp lệ ở mức độ nghiêm trọng vừa phải có thể được sử dụng trong các chiến dịch lừa đảo để phân phối phần mềm độc hại.
Các lỗ hổng đã được vá trong phiên bản Adobe RoboHelp mới nhất RH2017.0.2 và RH12.0.4.460 (Hotfix).
Mặc dù công ty không phát hiện ra lỗ hổng khai thác nào cho các lỗ hổng đã vá này, nhưng người dùng nên vá phần mềm của họ càng sớm càng tốt để tự bảo vệ mình khỏi bất kỳ cuộc tấn công từ xa nào.
