Adobe Scrambles để sửa lỗi PDF

Adobe xuất bản bản tin bảo mật thông báo cập nhật sắp tới cho Adobe Reader 9.3.3 cho Windows, Mac OS X và UNIX và Adobe Acrobat dành cho Windows và Mac, cũng như Reader và Acrobat 8.2.3 cho cùng một nền tảng để giải quyết một số vấn đề bảo mật. Adobe đã lên kế hoạch phát hành bản cập nhật bảo mật hàng quý tiếp theo cho Adobe Reader và Acrobat vào ngày 12 tháng 10 năm 2010. "

Microsoft cũng phát hành một bản nhạc ngoài bản vá cho lỗ hổng phím tắt của Windows - chỉ một tuần trước bản cập nhật Patch Tuesday được lên kế hoạch. Sự thay đổi nhanh chóng của Adobe từ phát hiện dễ bị tổn thương đến bản vá là đáng khen ngợi, nhưng sự gia tăng trong khai thác zero-day buộc cả Adobe và Microsoft thường xuyên cung cấp các cập nhật bên ngoài chu kỳ phát hành bản vá bình thường đe dọa phủ nhận lợi ích của việc có hệ thống phát hành bản vá theo lịch thường xuyên

[Đọc thêm: Cách loại bỏ phần mềm độc hại khỏi PC Windows của bạn]

Vấn đề đang được Adobe giải quyết là một lỗ hổng trong Adobe Reader đã được nhà nghiên cứu bảo mật Charlie Miller công bố tại Black Hat. Miller đã tự đặt tên cho mình bằng cách liên tục chiến thắng cuộc thi Pwn2Own tại hội nghị an ninh CanSec West.

Một tư vấn Secunia liên quan đến lỗ hổng Adobe giải thích "Lỗ hổng này gây ra do lỗi tràn số nguyên trong CoolType.dll khi phân tích cú pháp Giá trị trường "maxCompositePoints" trong bảng "maxp" (Tối đa) của phông chữ TrueType. Điều này có thể được khai thác để làm hỏng bộ nhớ thông qua tệp PDF chứa phông chữ TrueType được tạo đặc biệt. "

Được tổng hợp bằng tiếng Anh đơn giản mà quản trị viên CNTT và người dùng không phải là nhà phát triển có thể hiểu, Secunia cho biết thêm "Khai thác thành công có thể cho phép thực thi mã tùy ý". Điểm mấu chốt: kẻ tấn công có thể khai thác lỗ hổng Adobe Reader để kiểm soát hệ thống dễ bị tổn thương và cài đặt hoặc thực thi các phần mềm độc hại khác.

Thật thú vị, đó là một lỗ hổng trong cách phông chữ được hiển thị trong tài liệu PDF cho phép trang web JailbreakMe để phá vỡ sự bảo vệ của iPhone và thay đổi chức năng cốt lõi của hệ điều hành điện thoại thông minh. Tuy nhiên, theo Miller, các sai sót không liên quan đến nhau. Rất may, Apple đang nỗ lực cập nhật iOS để giải quyết vấn đề này.

Quản trị viên CNTT lo ngại về việc khai thác lỗ hổng này trong khi cập nhật từ Adobe luôn có thể xem xét các trình đọc PDF khác như FoxIt Reader và Nuance PDF Reader.