2 lỗ hổng nghiêm trọng trong Adobe Acrobat và Reader đã có bản vá khẩn cấp

 Mới đây Adobe đã phát hành bản vá bảo mật khẩn cấp cho hai lỗ hổng cực kì nghiêm trọng cho cả hai hệ điều hành Window và macOS. Được biết đây là các lỗi cho phép tin tặc có thể leo thang đặc quyền và thực thi mã tùy ý khai thác máy tính chỉ bằng việc mở các file PDF. 

Lỗ hổng đầu tiên, được báo cáo bởi Apelt và có tên CVE-2018-16011, là một lỗi use-after-free có thể dẫn đến việc thực thi mã tùy ý. Kẻ tấn công có thể khai thác lỗ hổng bằng cách lừa người dùng nhấp vào tệp PDF tự tạo, cuối cùng sẽ thực thi mã theo lựa chọn của tin tặc với đặc quyền của người dùng đang đăng nhập, cho phép kẻ tấn công chạy bất kỳ phần mềm độc hại nào trên máy tính của nạn nhân mà không cần cho phép.

Lỗ hổng thứ hai Adobe vá khẩn cấp, được phát hiện bởi Hariri và có tên mã là CVE-2018-19725 là một lỗ hổng bảo mật có thể dẫn đến leo thang đặc quyền. Cả hai lỗ hổng bảo mật được đánh giá là nghiêm trọng nhưng ở mức độ ưu tiên là 2. Điều này có nghĩa là công ty không tìm thấy bằng chứng cho thấy các lỗ hổng này đang bị khai thác.

Phiên bản phần mềm bị ảnh hưởng và thông tin về bản vá

Các phiên bản phần mềm bị ảnh hưởng gồm Acrobat và Reader DC 2015 phiên bản 2015.006.30461 trở về trước, phiên bản 2017 2017.011.30110 trở về trước và Phiên bản Continuous 2019.010.20064 trở về trước trên cả Windows và macOS.

Adobe đã xử lý các lỗ hổng bằng phiên bản mới nhất của Acrobat DC 2015 và Acrobat Reader DC 2015 (phiên bản 2015.006.30464), Acrobat 2017 và Acrobat Reader DC 2017 (phiên bản 2017.011.30113) và Acrobat DC Continent và Acrobat Reader DC Continuous (phiên bản 2019.010.20069) cho Windows và macOS.

Theo khuyến cáo của các chuyên gia bảo mật, người dùng máy Mac và Window nên cập nhật bản vá sớm nhất có thể, thông thường là ngày thứ ba tuần hai của tháng.

XD