Adobe sẽ vá lỗ hổng vào tháng tới

Quản trị mạng - Adobe sẽ không vá lỗ hổng mới nhất ,được đánh giá là critical, xuất hiện trên phần mềm xem và chỉnh sửa PDF trong vòng một tháng tới, cho dù mã tấn công đã được phát tán rộng rãi.

Vào ngày hôm qua, trong bản cập nhật cho cho bản hướng dẫn bảo mật được phát hành hôm thứ 3, Adobe đã ấn định ngày vá vào khoảng 12/01/2010, đây là thời điểm Adobe phát hành bản cập nhật bảo mật định kỳ quý cho ứng dụng Adobe Reader và Adobe Acrobat. Hầu hết các bản hướng dẫn đều xác nhận lỗ hổng này (được Adobe phát hiện từ hôm thứ hai vừa qua) và cung cấp một số hướng dẫn để chặn JavaScript API được cho là chứa lỗ hổng này.

Nhiều chuyên gia bảo mật khác cũng đã khuyên người dùng hủy bỏ JavaScript trong Reader và Acrobat để có thể tự bảo vệ cho đến khi Adobe tung ra bản vá.

Kế hoạch vá vào tháng tới của Adobe đồng nghĩa với việc hầu hết người dùng sẽ rơi vào vòng nguy hiểm cho đến khi một bản vá xuất hiện vì các nhà nghiên cứu đã viết một đoạn mã tấn công, dù hoạt động không ổ định, nhưng đoạn mã vẫn có thể khai thác lỗ hổng này.

Hôm qua, ông HD Moore, nhà phát triển phần mềm khung thử nghiệm xâm nhập mã nguồn mở Metasploit và giữ chức giám đốc bộ phận bảo mật của Rapid7, cho biết ông đã hoàn thành mã tấn công khai thác lỗ hổng Zero-day trong Reader và Acrobat. Trong một email, Moore nói “Lỗ hổng này dễ bị khai thác hơn chúng tôi nghĩ. Giờ đây đoạn mã này đã xuất hiện trong tính năng cập nhật trực tuyến của Metasploit.”

Moore còn tuyên bố rằng module khai thác còn được ông đăng tải trong trang cá nhân trên Twitter.

Tuy nhiên, đoạn mã tấn công này không phải lúc nào cũng hoạt động. Trả lời câu hỏi đăng trên trang cá nhân của ông trên Twitter Tại sao module khai thác của Metasploit không hoạt động với một người dùng? Moore giải thích “với lỗ hổng nguy hiểm và một số cuộc tấn công xảy ra ở khắp mọi nơi, chúng ta sẽ sớm có một bản cập nhật.”

Không như những phần mềm khung kiểm tra xâm nhập khác, như CANVAS của Immunity có trụ sở tại Miami, phần mềm khung mã nguồn mở Metasploit không thực hiện khai thác, thay vào đó, nó cho phép tin tặc cũng như các nhà nghiên cứu bảo mật hợp pháp tiếp cận mã tấn công.

Joshua Talbot, trưởng nhóm giải pháp bảo mật trong đội phản ứng bảo mật của Symantec, nhận định rằng sự xuất hiện của một đoạn mã tấn công trên Metasploit sẽ làm tăng nguy cơ bùng nổ những cuộc tấn công quy mô lớn. Đề cập tới sự trợ giúp mà tin tặc nhận được từ kết quả công việc của Moore, Talbot nói “Đoạn mã tấn công trong Metasploit cho phép tin tặc phát triển đoạn mã đó.”

Về phần mình, Moore tự bào chữa rằng những gì Metasploit thực hiện là cung cấp mã tấn công cho tất cả mọi người. Trong một email gửi đi hôm qua, Moore nói rằng “Vì lỗ hổng này đã được công bố và bị khai thác rộng rãi, chúng tôi thấy rằng bổ sung mội module khai thác không có gì sai trái, vì nó cung cấp một phương pháp an toàn người dùng để xác nhận rằng nỗ lực tự vệ của họ có hiệu quả.”

Ông Talbot cho biết hiện tin tặc đang tập trung khai thác lỗ hổng trong Adobe, tuy nhiên số lượng các cuộc tấn công hiện vẫn ở mức thấp và nhằm vào một số ít người dùng. Những người dùng bị tấn công đó đã nhận email có đính kèm file PDF giả mạo dưới dạng ghi chú vắn tắt hay những yêu cầu phỏng vấn từ kênh tin tức CNN. Theo trang Web phát hiện phần mềm độc Contagio, đã đăng một số mẫu email tấn công, thì lỗ hổng trong Adobe đã được khai thác từ ngày 30/11.

Trong một bài viết về phương pháp hoạt động của mã tấn công, Symantec cho biết mục tiêu của các cuộc tấn công là sử dụng lỗ hổng trong Reader và Acrobat để thả phần mềm độc đánh cắp dữ liệu vào máy tính của nạn nhân.
Khi bản cập nhật Adobe được phát hành vào tháng tới, người dùng có thể tải tại trang hỗ trợ bảo mật của Adobe.