Quản trị mạng - Hôm nay Adobe đã cho biết họ lựa chọn thời điểm vá lỗ hổng nguy hiểm trong PDF vào giữa tháng 01/2010 là do việc phát hành một bản cập nhật khẩn cấp sẽ làm đảo lộn lịch cập nhật bảo mật định kỳ quý.
Nếu người dùng không áp dụng một trong những phương pháp mà Adobe đã gợi ý đồng nghĩa với việc hệ thống sẽ bị để ngỏ trước các cuộc tấn công cho đến ngày 12/01 sang năm, thời điểm bản vá lỗ hổng nguy hiểm này được tung ra. Theo nhiều hãng bảo mật, lỗ hổng này có thể đã được tin tặc khai thác từ ngày 20/11, tuy nhiên cho đến thứ hai vừa qua Adobe mới phát hiện ra rằng lỗ hổng trong ứng dụng Reader và Acrobat đang được khai thác.
Brad Arkin, quản lý bảo mật và thông tin sản phẩm của Adobe, mô tả tình thế tiến thoái lưỡng nan mà công ty đang gặp phải
“Chúng tôi có hai hướng giải quyết vào lúc này. Thứ nhất, chúng tôi có thể phát hành một bản vá ngoài luồng cho lỗ hổng này để loại bỏ nó ở mức nhanh nhất có thể. Thứ hai, chúng tôi sẽ phát hành bản vá vào ngày 12/01.”
Tuy nhiên, Arkin lại nhận xét rằng giải pháp thứ nhất, phát hành ngay một bản vá cho lỗ hổng Zero-day hiện tại tới người dùng chỉ sau hai hoặc ba tuần, có một vấn đề. Nếu buộc các kỹ sư tập trung vá Reader và Acrobat thì Adobe sẽ phải lùi ngày phát hành gói cập nhật định kỳ quý (đã được lên kế hoạch vào ngày 12/01) ít nhất là sang tháng 2.
Khi giải thích rằng Adobe sẽ không thể thực hiện cả hai hướng giải quyết (phát hành một bản vá khẩn cấp tới người dùng vào cuối tháng 12, sau đó quay trở lại với gói cập nhật bảo mật định kỳ và vẫn giữ đúng hạn định), Arkin nói
“Ngoài ra, Adobe không còn phương án nào khác.”
“Do quá bận rộn trong mùa giáng sinh, chúng tôi đã quyết định có thể sẽ đưa bản vá này vào gói cập nhật ngày 21/01 dưới dạng mã, sau đó sẽ vẫn tiếp tục hoàn thiện nó”, Arkin tiếp.
Phương pháp mà Adobe chỉ dẫn cho người dùng trong
bản hướng dẫn bảo mật được phát hành vào hôm thứ hai đã cho thấy quyết định của họ. Arkin tranh luận rằng
“Chúng tôi cho rằng đây là một phương pháp hiệu quả, JavaScript Balcklist đã từng được chúng tôi nhắc đến trong gói cập nhật bảo mật được phát hành hồi tháng 10.”
Phần mềm khung JavaScript Blacklist Framework là một tính năng mới được Adobe bổ sung vào ứng dụng Reader và Acrobat cho phép người dùng và quản trị viên hệ thống máy tính doanh nghiệp khóa một số hàm JavaScript cụ thể, hay API (giao diện lập trình ứng dụng) để bảo vệ máy tính trước những cuộc tấn công thông thường mà không phải tắt bỏ mọi chức năng của JavaScript.
Arkin cho biết
“Đây là lần đầu tiên chúng tôi sử dụng JavaScript Blacklist như một giải pháp khắc chế.” Kết quả của những cuộc thử nghiệm cho thấy chỉ cần tắt bỏ API “dễ bị tổn thương” thì người dùng sẽ được an toàn trước những cuộc tấn công khai thác quy mô lớn.
Adobe cũng lắng nghe ý kiến của người dùng về quyết định thực hiện cập nhật theo kế hoạch đã định. Sau những cuộc thảo luận này, Arkin kết luận rằng
“Việc phát hành hai bản cập nhật, một trong tháng này để vá lỗ hổng nguy hiểm đang được khai thác, sau đó là một bản khác có thể được phát hành trong tháng 2, thì các tổ chức sẽ tốn kém hơn rất nhiều so với chỉ phải triển khai một bản cập nhật duy nhất.”