Một lỗ hổng bảo mật zero-day đã được phát hiện trong phần mềm Adobe lllustrator có thể cho phép tin tặc thực thi những đoạn mã độc trên hệ thống của người sử dụng. Quản lí chương trình của Adobe, ông David Lenoe, hôm thứ năm tuần trước đã xác nhận rằng họ đã biết đến đến vấn đề này và đang cho xác minh lại.
Lenoe viết trên blog: “Chúng tôi đang điều tra vấn đề này và sẽ cập nhật khi có thêm thông tin mới”. Ông cho biết lỗi xảy ra khi mở tập tin .eps bằng Illustrator, điều này phần nào hạn chế được mức độ nghiêm trọng. Cho đến hôm nay (7/12), Adobe chưa cập nhật thông tin gì mới về lỗ hổng này.
Điều đáng lo là đoạn mã khai thác lỗ hổng này đã được đăng lên website Altervista của giới tin tặc.
Công ty bảo mật Secunia đã xác nhận rằng lỗ hổng ảnh hưởng đến Adobe Illustrator CS3 và CS4, và họ tin rằng những phiên bản khác cũng có thể bị ảnh hưởng.
Secunia cho biết: Nguyên nhân gây ra lỗ hổng này là do một lỗi việc phân tích tập tin .eps, có thể bị khai thác để sửa đổi bộ nhớ. Khi tin tặc khai thác lỗ hổng thành công, họ có thể thực thi bất cứ mã độc nào trên máy tính người dùng.
Ngày mai Adobe sẽ cho ra các bản vá lỗ hổng nghiêm trọng của Flash và AIR. Những bản vá này hoàn toàn không liên quan đến lỗ hổng của Illustrator trong bài này.
Nguyễn Phi Vũ (theo ZDnet).
Bình luận
Lỗi zero-day là lỗi gì mà sao nhiều phần mềm mắc phải vậy nhỉ? Nó có ảnh hưởng nghiêm trọng lắm không? Ai trả lời hộ mình với....
Lỗi nào mà chưa có bản vá thì gọi là lỗi zero-day Đây đơn giản chỉ là một tính từ bổ sung cho “lỗ hổng”
Cảm ơn Hải Nam, trước giờ cứ tưởng nó là tên gọi một lỗi cụ thể nào đó