Adobe vá lỗi zero-day mới nhất của Flash

Hôm 15/4/2011, Adobe đã vá một lỗ hổng nghiêm trọng trong Flash Player mà bọn tội phạm đã khai thác với các tài liệu Microsoft Word và Excel độc hại.

Hôm thứ Hai 11/4/2011, Adobe thừa nhận lỗi và cho biết, mã khai thác lỗi đã được lưu hành và hứa sẽ sửa chữa lỗ hổng với một bản cập nhật khẩn cấp. Bản cập nhật hôm 15/4/2011 là bản vá lỗi khẩn cấp thứ 2 của Adobe trong vòng chưa đầy 4 tuần.

Phiên bản mới, Flash Player 10.2.159.1, sẵn có cho Windows, Mac, Linux và Solaris chứ chưa có cho hệ điều hành di động Android của Google. Một bản sửa lỗi cho cùng lỗ hổng đó sẽ được đưa ra cho người dùng Android không muộn hơn tuần từ 25-29/4/2011, Adobe cho biết.

Adobe cũng sẽ vá lỗi cho trình xem PDF phổ biến Adobe Reader. Lỗ hổng Flash tồn tại trong Reader và Acrobat vì cả hai đều chứa mã mà trả về (render) nội dung Flash nhúng trong các file PDF.

Mặc dù những cuộc tấn công ban đầu đã được tiến hành nhờ sử dụng các tài liệu Word đính kèm “có độc”, sau đó tin tặc đã mở rộng chiến dịch sang cả các file Excel bị thay đổi, nhà nghiên cứu bảo mật độc lập Mila Parkour cho biết. Bà Parkour đã báo cáo lỗ hổng Flash cho Adobe.

Google đã cập nhật trình duyệt Chrome của mình - bao gồm cả một bản sao của Flash Player - hôm thứ Năm 14/4/2011, không chỉ sửa lỗi Adobe mà còn khắc phục 3 lỗ hổng nghiêm trọng trong công nghệ tăng tốc phần cứng của trình duyệt nữa.

Người dùng đang chạy các trình duyệt khác có thể tải về phiên bản Flash Player đã vá lỗi từ website của Adobe.