Adobe "phát tán" lỗ hổng bảo mật

Hôm nay, một công ty bảo mật cảnh báo Adobe đã cho phép người dùng tải một phiên bản Reader quá hạn từ website của họ.

Phiên bản Adobe này hiện có ít nhất 14 lỗ hổng bảo mật đã được công ty này vá vào 2 tháng trước.

Secunia, công ty chuyên theo dõi lỗ hổng của Đan Mạch, cảnh báo rằng Adobe đang cho phép tải một bản Reader quá hạn khi những người dùng sử dụng tiện ích Personal Software Inspector (PSI) để kiểm tra những chương trình chưa được vá trên PC sử dụng hệ điều hành Windows bắt đầu phàn nàn rằng công cụ này thông báo họ đang sử dụng một phiên bản không bảo mật cho dù họ đã tải về PDF Viewer.

Mikkel Winther, giám đốc chương trình đối tác PSI, cho biết “Adobe Reader còn tồn tại nhiều lỗi. Dù người dùng đã tải phiên bản Reader mới nhất nhưng PSI vẫn khẳng định rằng phiên bản đó cũng không bảo mật.”

Ban đầu Secunia hoài nghi rằng PSI đang bác bỏ một “lỗi rõ ràng”, nhưng không phải như vậy. Winther nói rằng “Adobe.com vẫn tung ra phần mềm này dù biết có nhiều lỗ hổng bảo mật.”

Winther cho biết phiên bản hiện đang được đăng trên website của Adobe là Reader 9.1, được tung ra vào ngày 10/3 để và một số lỗi, bao gồm một lỗi tin tặc đã lợi dụng để tấn công từ ngày 9/1/2009.

Từ thời điểm đó đến nay Adobe đã tung ra 2 bản cập nhật bảo mật. Bản đầu tiên được tung ra vào ngày 12/5 để vá lỗi “zero-day” của Reader. Trong khi đó, bản thứ 2 được cho ra để vá ít nhất 13 lỗ hổng bảo mật quan trọng do những nhà nghiên cứu của những công ty khác phát hiện, và bí mật sửa một số lỗi do chính đội bảo mật của Adobe tìm ra.

Adobe cho rằng điều này là hoàn toàn bình thường. Phát ngôn viên của công ty cho biết “Adobe Reader 9.1 dành cho Windows là phiên bản đầy đủ nhất và mới nhất, còn Adobe Reader 9.1.1 và 9.1.2 là những bản vá cho phiên bản 9.1. Đó là lý do người dùng được yêu cầu tải Adobe Reader 9.1 trên trang Get Adobe Reader của website Adobe.com.”

Winther nói rằng “Adobe đã cho ra Adobe Updater mà rốt cuộc cập nhật Reader thành những phiên bản ‘được vá’, tuy nhiên, việc cập nhật đôi khi tiền hành trong vài ngày có khi vài tuần.” Theo mặc định, Adobe Updater Ping của công ty này chỉ hoạt động một lần trong tuần.

Winther nói những hành động của Adobe đã đẩy người dùng vào mối đe dọa bị tin tặc tấn công bằng cách sử dụng những tài liệu PDF độc hại để chiếm quyền điều khiển PC. Nếu người dùng nhận được một tài liêu PDF dưới dạng đính kèm trong một email nhưng PC lại chưa cài đặt Reader, họ có thể sẽ tải và cài đặt phiên bản Reader 9.1 từ website của công ty. Hậu quả là họ vô tình mở đường cho tin tặc tấn công.

“Người dùng PC cần vá mọi lỗ hổng bảo mật của các chương trình, và phải thực hiện vá ngay sau khi nhà cung cấp phát hành bản vá. Nếu không thực hiện vá, thì việc hệ thống bị tấn công chỉ là vấn đề về thời gian và may mắn.”

Winther khuyên những người dùng mới tải và cài đặt Reader tự tiến hành cập nhật bằng cách lựa chọn Check for Updates trong menu Help, hoặc có thể tải và cài đặt công cụ Secunia’s PSI để xác định những phần mềm quá hạn.