Tuần tới Adobe sẽ vá lỗ hổng nguy hiểm trong Acrobat và Reader

Tuần tới hãng Adobe Systems sẽ tiến hành cập nhật bản vá lỗi cho một số lỗ hổng nguy hiểm trong 2 ứng dụng Acrobat và Reader.

“Chúng tôi sẽ khắc phục lỗ hổng trong các phiên bản Adobe Reader và Acrobat vào ngày 12/5 tới”, David Lenoe, giám đốc chương trình bảo mật của Adobe cho biết.

Bản vá lỗi mới nhất của Adobe sẽ sửa chữa các sai sót bảo mật trong các phiên bản 7.x, 8.x và 9.x của Reader và Acrobat trên Windows; các phiên bản 8.x và 9.x của Acrobat trên máy Mac; và các phiên bản 8.x và 9.x trên Unix. Bản vá cũng khắc phục lỗi CVE-2009-1492, vốn liên quan tới khả năng thực thi JavaScript trên Reader và Acrobat.

Theo Adobe, lỗ hổng có thể cho phép kẻ tấn công tạo một tệp tin PDF độc hại, và chạy mã nhị phân trên hệ thống. Mã tấn công lỗ hổng này được đăng tải cuối tuần trước trên website SecurityFocus.

Adobe cũng cảnh báo người dùng về lỗ hổng thứ hai trong Reader trên Unix (CVE-2009-1493). Lỗ hổng này cũng sẽ được khắc phục trong các phiên nâng cấp sắp tới, mặc dù về bản chất nó không ảnh hưởng tới Windows hoặc Mac.

Theo Adobe, trước khi bản vá lỗi được ban hành, người dùng nên vô hiệu hóa tính năng JavaScript trong 2 tính năng trên. Dưới menu “tham chiếu” (preferences) của chức năng “edit”, người dùng có thể vô hiệu hóa tính năng JavaScript để ngăn chặn khả năng khai thác lỗ hổng.

Trước đây, Reader và Acrobat đã đôi lần phát sinh lỗ hổng. Các lỗ hổng này rất có “ý nghĩa” với hacker bởi chúng giúp tạo ra các tài liệu độc hại để khai thác lỗ hổng và chiếm quyền kiểm soát máy tính. Do tệp tin PDF được sử dụng khá rộng rãi, nên nguy cơ nạn nhân bị lợi dụng rất cao.