Adobe xác nhận Flash sử dụng ATL lỗi

Quản trị mạng - Hôm qua, Adobe đã thừa nhận là nhà cung cấp chương trình nhóm ba đầu tiên sử dụng thư viện code bị lỗi của Microsoft trong những sản phẩm của họ.

Theo một số bài viết về bảo mật đăng trên website của Adobe hôm thứ 3, nhiều phiên bản Windows sử dụng Flash Player và Shockwave Player của Adobe chứa nhiều lỗ hổng vì Adobe đã sử dụng thư viện code có quá nhiều lỗi của Microsoft trong quá trình phát triển.

Cũng không có gì ngạc nhiên khi Flash Player lại dễ bị tấn công. Ba tuần trước, hai nhà nghiên cứu người Đức đã thông báo rằng họ phát hiện nhiều ứng dụng nhóm ba chứa thư viện code trên, và chỉ đích danh Flash như một ví dụ điển hình.

Hôm qua Adobe đã vá Shockwave và ngày mai họ sẽ tung ra bản cập nhật dự định trước đó dành cho ứng dụng Flash Player đang được sử dụng phổ biến.

Trên blog của Adobe, bà Wendy Poland, thành viên nhóm bảo mật của công ty này, cho biết “Chúng tôi đã đánh giá tác động của những phiên Active Template Library (ATL) có nhiều lỗi của Microsoft đối với những sản phẩm của Adobe, và khẳng định rằng Flash Player và Shockwave Player là hai sản phẩm sử dụng những phiên bản lỗi đó.”

Hôm thứ 3 Microsoft cũng xác nhận ATL (thư viện code của Visual Studio) chứa rất nhiều lỗi, ít nhất một lỗi trong số đó đã xuất hiện từ năm ngoái. Mặc dù Microsoft đã vá Visual Studio để loại bỏ nhiều lỗi trong ATL nhưng những bản vá này không tự động vá những phần mềm sử dụng thư viện này. Thay vào đó nhiều nhà cung cấp (bao gồm cả Microsoft) phải sử dụng chương trình Visual Studio đã được vá để kiểm tra lại code, sau đó mới tung ra chương trình mới bảo mật hơn.

Đó là những gì mà Adobe cũng đã thực hiện trên Shockwave vào hôm qua. Trong một bản báo cáo bảo mật công bố ngày hôm qua, Adobe cho biết họ đã cập nhật Shockwave Player lên phiên bản 11.5.1.601, và nhấn mạnh rằng bản vá đã vá một lỗ hổng nguy hiểm mà tin tặc có thể khai thác để chiếm quyền điều khiển PC sử dụng hệ điều hành Windows.

Adobe cam kết sẽ vá Flash Player vào ngày hôm nay. Trong một bài viết đăng trên blog của công ty ngày hôm qua, Adobe cho biết “Hai phiên bản Adobe Flash Player 9.0.159.0, 10.0.22.87 và các phiên bản 9.x , 10.x trước đó được cài đặt trên hệ điều hành Windows để sử dụng cùng với IE đã sử dụng phiên bản lỗi của của ATL. Chúng tôi đang phát triển bản vá cho lỗ hổng này, và hi vọng một bản cập nhật cho phiên bản Flash Player V9 và V10 dành cho Windows sẽ được tung ra vào ngày 30 tháng này.”

Tuần trước, Adobe cũng đã cam kết vá Flash Player vào ngày hôm nay để loại bỏ một lỗ hổng khác đã bị nhiều tin tặc khai thác. Theo Secunia, hãng theo dõi lỗ hổng bảo mật của Đan Mạch, hơn 92% người dùng Windows rất dễ bị tác động bởi những cuộc tấn công thông qua Flash Player hiện nay.

Bà Poland nói rằng một số phần mềm khác của Adobe, bao gồm PDF Reader (cũng sẽ được cập nhật để vá lỗ hổng tương tự đã dẫn tới những cuộc tấn công quy mô lớn) không chứa thư viện lỗi ATL. Ứng dụng Adobe Reader được nhúng trên IE là một thư viện ATL không có lỗi, và dù nhiều lỗ hổng đã được vá trong trình duyệt nhúng Flash Player thì những người dùng IE vẫn có thể bị tấn công. Bà cho biết “Những người dùng Flash Player được nhúng trên trình duyệt Firefox cũng như những phiên bản trình duyệt của Windows khác (ngoại trừ IE) đều được bảo mật.”

Một trong ba lỗi của ATL là do một lỗi lập trình đơn giản. Theo Microsoft và nhiều nhà nghiên cứu khác, một tính năng của ATL có tên ATL::CComVariant::ReadFromStream bị thừa một kí tự &.

Cho đến khi một bản vá chính thức cho Flash được tung ra, Adobe khuyên người dùng cài đặt bản cập nhật MS09-034 của Microsoft được giới thiệu vào hôm thứ 3 trong bản cập nhật định kỳ dành cho Windows. Trong bản cập nhật đó, những bản vá cho IE được cho là những biện pháp phòng vệ mới có thể phát hiện và chặn ActiveX Control (giống như Flash Player và Shockwave, ActiveX Control cũng sử dụng thư viện ATL chứa rất nhiều lỗi).

Adobe sẽ đăng liên kết tới bản Flash Player đã được vá trên trang bảo mật của công ty.