Adobe vá lỗ hổng đã tồn tại 2 năm

Một lỗ hổng xuất phát từ Shockwave của Adobe cho phép kẻ tấn công có thể cung cấp các phần mềm độc hại và thực thi mã tùy ý, được coi là một trong các loại nguy hiểm nhất hiện nay.

Adobe có kế hoạch vào tháng Hai tới sẽ hoạt tất việc bịt lỗ hổng nguy hiểm trong ứng dụng Shockwave gây ra các vấn đề ứng dụng bị tin tặc tấn công lỗ hổng khi người dùng khởi động các nội dung đa phương tiện cũ.

Tổ chức US CERT, Mỹ, đã phát hiện một lỗ hổng từ Shockwave cho phép kẻ tấn công có thể cung cấp các phần mềm độc hại và thực thi mã tùy ý, được coi là một trong các loại nguy hiểm nhất hiện nay.

US CERT thông báo vấn đề này với Adobe vào ngày 27-10-2010, nhưng một phát ngôn viên của Adobe cho biết vấn đề này sẽ chỉ được bịt lại thông qua bản cập nhật lớn tiếp theo của Shockwave mà Adobe dự kiến công bố vào ngày 12-2.

Ông Wiebke Lips, một quản lý cấp cao của mảng truyền thông doanh nghiệp tại Adobe cho biết: "Chúng tôi không biết bất kỳ hoạt động khai thác hoặc tấn công thông qua kỹ thuật này, và Adobe không xem xét đó là vấn đề có thể gây nguy cơ cao cho người sử dụng".

Shockwave được sử dụng để hỗ trợ phát nội dung được tạo ra trong Macromedia và Adobe Director, trong đó cung cấp các công cụ để tạo ra nội dung tương tác, bao gồm Flash.

Cơ quan này cũng cho biết thêm, khi Shockwave 10 (và cũ hơn) chạy có chứa các lỗ hổng bảo mật như ứng dụng Xtras chứa các thành phần nội dung, điều này mở ra cơ hội tấn công cho các tin tặc.

US CERT đã công bố 2 tài liệu khác nhau để mô tả các vấn đề với Xtras và Flash mà Adobe đang tiến hành phân tích. Vấn đề này xảy ra cả với người dùng Windows lẫn Mac OS. Mặc dù vậy vẫn chưa có xác nhận nào cho biết lỗ hổng trên đã được tin tặc khai thác và tấn công người sử dụng.